據(jù)KrebsOnSecurity得到的消息稱,今年約會服務(wù)網(wǎng)站Cupid Media(國外的)被入侵,泄漏了超過4200萬條記錄，包括姓名,郵箱,沒加密的密碼和生日。

存放Cupid Media數(shù)據(jù)的服務(wù)器非常”有名”,hacker從同一臺服務(wù)器上獲取了Adobe,PR Newswire和National White Collar Crime Center和其他網(wǎng)站數(shù)以億計的記錄.

被竊取的數(shù)據(jù)庫中有超過4200萬的記錄，這些記錄的格式是下面這樣的.我是11月8號接觸到Cupid Media的.

8天后，我從這個公司總經(jīng)理Andrew Bolton那兒聽到一些消息.Bolton說這次的信息泄漏應(yīng)該和2013年一月份的一次入侵有關(guān)系.

“在一月份的時候，我們在公司的網(wǎng)絡(luò)上檢測到一些可疑的活動,并且根據(jù)當時我們掌握的信息，我們采取了一些我們覺得合適的措施.我們通知了受影響的用戶，并且為一些特殊的用戶重置了密碼,”Bolton說,”現(xiàn)在我們正在確認受影響的用戶是否重置了密碼和收到郵件通知沒”.

無論是在媒體還是什么地方，我也沒找到任何關(guān)于他說的”2013年一月份的入侵”的報道.當我告知Bolton我接觸的用戶都說自己的明文密碼被公開在上面的目錄中時,Bolton卻告訴我我可能已經(jīng)”非法接觸”公司用戶.他還提到”上面那份公開的記錄中大部分的記錄都失效了，很多用戶帳號早已經(jīng)就沒有使用或者被刪除了”.

“在這次信息泄漏時間中實際上受影響的用戶數(shù)量應(yīng)該比你說的4200萬要少得多”,Bolton說到.

Cupid Media公司的網(wǎng)站和Twitter上聲明Cupid Media在全球有超過3000萬的用戶.不幸的是，很多公司都有把失效用戶的信息也存放起來的習(xí)慣.

Alex Holden是 Hold Security LLC公司的首席安全工程師,他說Bolton的聲明讓他響起軟件巨頭公司Adobe.Ad

在那次Adobe被入侵的事件中，超過15000萬人的eamil和密碼被泄漏，但Adobe說目前他們只需要通知3800萬的用戶就行，因為其他的用戶都是早就不存在的.

“Adobe說他們有3800萬的用戶，卻泄漏了15000萬人的信息”，Holdent說，”這個就涉及到公司的安全觀了，要看公司是怎么區(qū)分用戶和相信公司而愿意把信息存放在他們公司服務(wù)器上的個人了”.

這種大規(guī)模的入侵帶來的問題是由于很多人都是在不同網(wǎng)站上用的都是一個一樣的密碼，這樣獲得了一個密碼和eamil就可能獲得很多個人信息.在這點上，F(xiàn)acebook做的很好，他通知那些Adobe的用戶修改他們的Facebook帳號密碼，降低了Adobe數(shù)據(jù)泄漏帶來的影響.

3400萬Cupid用戶用Yahoo,Hotmail或者Gmail郵箱注冊.56個本地安全公司的雇員也在這里尋找真愛.

Holden還說Cupid Media的數(shù)據(jù)庫對于很多發(fā)垃圾郵件的人是個金礦.Cupid的用戶對于那些垃圾郵件特別是打廣告的郵件要比一般人要重視的多.想一下，那種偉哥,約會服務(wù),和減肥藥的廣告投放到他們的郵箱中，會發(fā)生什么?

Bolton后來在他的郵件中語氣要緩和的多,他表示公司沒有完全理解這次入侵帶來的后果.

“因為你提供了很多信息，我們現(xiàn)在已經(jīng)清楚地知道了一月的入侵使我們失去了什么”,Bolton寫道,”我們現(xiàn)在正在再次確認受影響的用戶是否已經(jīng)重置密碼，并且是否收到我們的郵件通知”.

Bolton還寫道:

在一月份被入侵之后，我們聘請了外面的安全團隊完成一次大范圍的安全加固.我們將密碼已經(jīng)哈希和加鹽處理過了,我們還提示用戶使用強密碼，并且我們還做了一些其他的安全措施.

我們想要感謝你讓我們重視到了這個問題，我肯定我們有責(zé)任深入調(diào)查這次入侵并且做任何有必要的改進。保護用戶的隱私和數(shù)據(jù)對我們來說非常重要，我們會繼續(xù)加強安全措施.我們真誠地對這次事件對用戶帶來的不變感到歉意.

看樣子Cupid公司不會再明文儲存密碼了.至少Cupid Media不會在你要求重置密碼的時候明文發(fā)送密碼，而很多大公司卻還是明文發(fā)送.在2011年二月的時候，有一件事情引起廣泛關(guān)注.這件事是關(guān)于pof.com網(wǎng)站3000萬用戶的數(shù)據(jù)被曝光,pof也是一個約會服務(wù)公司，而且它也承認明文存儲用戶密碼.

盡管我不會crack任何密碼,但是我覺得看一下Cupid Media用戶的常用密碼還是可以的.看起來Cupid用戶對密碼并不是很重視，因為很大一部分用戶用了超級弱的弱口令.根據(jù)我的統(tǒng)計，超過十分之一的Cupid用戶用了下面是個密碼:

排名前十的非數(shù)字密碼，這組密碼很可能被很多約會網(wǎng)站的會員使用喲.