客服中心

返回顶部

因安全问题 数据监控跟踪网站PwnedList将关闭

  PwnedList宣布将在2016年5月16日关闭。PwnedList是能够报告网站何时被攻破以及凭据是否泄漏的网站。

  记者Brian Krebs爆料该公司存在安全问题,允许恶意攻击者监测任意域名的敏感信息泄漏情况,而不需要经过正当的身份验证程序。
 
  域名持有人验证程序存在漏洞

  默认的情况下,当用户在PwnedList创建一个账户,想要追踪其网站的用户网上登录凭证信息在网络上泄露的情况,只需要在操作列表中添加域名作为监控的对象。

  为了验证用户的身份,PwnedList会发送邮件验证链接。正常情况下,当真实用户收到邮件后,需要点击其中的链接,打开确认页面进行验证。

  而安全专家Bob Hodges告诉Brian Krebs,确认页面是没有与前一阶段的验证流程做绑定,即要求验证的域名与发送验证链接中要求验证的域名用户并无绑定。这意味着只要通过修改链接URL上的部分参数,攻击者伪装成任意域名的拥有者。

  Krebs随后进行操作验证Hodges的说法是否属实。很快他收到了apple.com的凭证信息是否被泄露的确认邮件,但显然,他并不是apple.com的域名持有人。

  攻击者可以通过PwnedList跟踪任意网站

  攻击者利用这一漏洞可以追踪任意网站的凭证泄漏情况,并收到网站漏洞报告。目前,PwnedList 总计有101,047个网站泄露的 866,434,472个账户信息。

  在Krebs向Alen Puzic验证这一漏洞存在后,跟踪服务被暂时下线。Alen Puzic是PwnedList的创始人,目前在InfoArmor任职。随后PwnedList 发布了该服务将关闭的信息。公告如下,

  感谢你成为我们的用户,让我们可以为你提供与你相关的个人账户的风险状况。PwnedList于2012年上线启动,很快便成为行业中的领航者。随后于2013年,出于商业发展考虑,PwnedList决定将自身业务出售给企业基础服务提供商InfoArmor公司。而在这个过渡的过程中,PwnedList网站计划于2016年5月16日关闭。
 
  阅读本文的人还阅读了:

  通过蒲公英把NAS打造成私有云盘

 花生壳内网映射:外网与局域网NAS互通四大解决方案