- A+
由于配置不当的在线存储桶,密码管理器服务公开了数据
据国际网络安全研究所网络安全专家报道,密码管理服务公司Blur的开发人员Abine最近发布了一份安全通知,报告称由于疏忽而导致包含用户敏感数据的文件暴露出来。
在Abine发现一个包含电子邮件地址的文件,客户用于登录Blur的IP信息以及与用户密码相关的加密信息之后,9月13日就会发现暴露的信息。 显然,此文件自2018年1月6日起已经公开。
Blur服务的主要工作是确保和增强其用户的互联网隐私体验,提供密码管理服务,以及支付卡,电子邮件地址,电话号码保护和屏蔽。 就其本身而言,Abine负责为每个用户使用bcrypt和单一盐加密密码。 据网络安全专家称,这些独特的功能存在于公司的公开文件中,而不是真正的密码中。
然而,众所周知,在用户使用相同的电子邮件地址链接这些服务的情况下,该用户密码相关信息可以帮助攻击者获得对由这些服务保护的任何在线帐户的访问。 根据Abine发布的安全警报,到目前为止,没有证据表明任何用户的敏感数据已被泄露。
“我们相信用户的数据仍然是安全的。 没有证据表明存储在Blur(受保护的支付卡,电子邮件和电话)中的数据已被泄露,“在Abine博客上提到了一篇帖子。
网络安全专家指出,Abine没有提供有关此事件的更多详细信息,例如受害者的确切人数或首先如何暴露水桶。 早期的研究表明,错误配置的Amazon S3存储桶包含暴露的文件,因此事件期间将暴露大约240万用户的数据。
这一事件对Abine造成了沉重的打击,因为密码管理服务被认为更可靠地管理大量不同服务的访问密钥,而无需记住不同的密钥或为每个平台建立相同的密码,作为额外的安全层运行。 作为一项安全措施,该公司建议其用户启用双因素身份验证(2FA),并在可能的情况下重置所有密码。
