日前,有安全研究人员表示,知名婚外情网站 Ashley Madison 因其默认设置出现问题,导致用户私密照片泄露。
Ashley Madison.com是一家为已婚人士提供交友、约会服务的网站,鼓吹“人生苦短,及时行乐”(Life is short. Have an affair)。
Ashley Madison 的数据泄露
2015 年,Ashley Madison 就曾遭遇过数据泄露,3700 万用户的个人数据被窃取并在黑市网站上出售。但这似乎并不影响 Ashley Madison 的市场,不论是为了猎奇,还是真的空虚寂寞冷,总之依然有很多用户在该网站上活跃。后来,Ashley Madison 声称加强了安全保护策略。但近期,在 Kromtech 安全团队和独立安全研究员 Matt Svensson 的联合调查中,发现 Ashley Madison 的默认设置存在问题,导致用户私密照泄露。
人生苦短,及时行乐?
据了解,Ashley Madison 有两种照片存储模式,一种是直接公开分享,另一种是用密钥加密保管个人照片。如果有人人想要访问他人的加密照片,就必须使用密钥。但是,这种方式并不安全,因为一旦用户将密钥分享给其他人,对方的密钥也会自动分享出来,就算对方不愿意分享也无济于事。而一旦获取密钥,就可以通过 URL 查看照片。因此,就算从未注册过 Ashley Madison 的人也可以不经过身份验证,直接通过 URL 就可以查看并获取这些照片。
研究人员表示:黑客可以利用这一点,使用一个电子邮件地址注册多个账户,快速获取大量私密照片。获取这些照片之后,可以将照片链接在各个网站分享,还可以将照片售卖,甚至如果知道主人的话,拿去勒索的桥段也可以上演。
你可以用同一封电子邮件上创建数十个或数百个用户名,每天几百或几千个用户的私密照片。这想想就很酸爽,但很容易导致犯罪。
Ashley Madison 的默认设置选项
严格来说,这并不算是个漏洞,只是默认设置选项造成的后果。研究人员进一步测试,与随机的用户交换密钥,最后发现 24% 的用户都有用密钥加密的私密照,64% 拥有私密照的用户账户会自动交换密钥。
研究人员与 Ashley Madison 取得联系并告知了这个数据泄露的风险,但 Ashley Madison 拒绝承认这是个漏洞,他们并没有取消自动分享密钥的功能,只是增加了对每天分享密钥的次数限制,并加入“异常检测”。但这些手段在黑客面前简直不值一提,也就是说,如果你在 Ashley Madison 开了账户并放了私密照,依然有很大可能暴露。如果有用户使用该网站或者使用类似产品和服务,还是好自为之吧。
保密,真的至关重要?
偷情有风险,丢人丢钱丢性命
这也许会导致平民版本的“艳照门”。此前,Instagram 和 Facebook 的好莱坞“艳照门”、明星私密照泄露等事件,成为大家茶余饭后的谈资。但这次偷情网站上泄露的个人“艳照”也许就让涉事者轻松不起来了。想想如果你的伴侣、孩子、亲朋好友在上网时看到你的大尺度照片挂在网页上会是什么心情?如果他们知道这些照片是从 Ashley Madison 泄露出来的,又会是什么心情?
事实上,这个网站也并不是想象的那么“美好”。有网友做过测试,发现这跟此前曝出大批诈骗的世纪佳缘一样,充斥着骗钱行径。
知乎上某回答,看官自己体会
此外,也有人因为 Ashley Madison 而丢了性命。2015 年 Ashley Madison 发生泄漏之后,圣安东尼奥市警察局的一名退休警察队长在泄露的数据中发现他的官方电子邮件地址,随后自杀。
人生苦短,及时享乐。享乐的方式有很多种,没必要冒着风险通过这种方式去找乐子。多挖洞,多写程序,生活依然也很美好呀。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/54666.html