白帽黑客提交gaana.com漏洞却被官方忽略以致被黑

龙 宇 2016-7-28 最新资讯 0 0

  

白帽黑客提交gaana.com漏洞却被官方忽略以致被黑

  Gaana.com—印度当下很流行的音乐媒体服务提供网站,拥有超过100万的注册用户以及每月7.5百万人次的访问量。据报道,该网站目前已经被入侵,其数据库被窃。

  一位来自巴基斯坦的黑客宣称自己窃取了该网站数据库,其数据库包含了用户名,电子邮件,密码的md5值,出生日期以及一些个人信息,黑客也提供了一个可搜索泄露数据库引擎。

  在写这篇文章的时候,Gaana网站在没有任何官方声明下,正在维护网站。到目前为止,网站首页显示着:“网站维护中,稍后访问,敬请谅解。”

  可查询的10万用户信息详情

  ID为Mak Man的黑客在FaceBook上帖出了可查询的Gaana用户信息的查询链接,并贴上了gaana后台页面图片。

  

白帽黑客提交gaana.com漏洞却被官方忽略以致被黑

  通过利用SQL注射漏洞,Mak Man成功的获取到了Gaana.com网站的10百万的用户信息。黑客同样在Facebook上帖出了SQL注射漏洞的截图。

  Mak Man说他之前曾将这个漏洞作了一份详细的报告并汇报给Gaana.com,但这家公司却没有给他的报告作出回应并且忽略了他报告的漏洞,导致了用户信息泄露。

  提交漏洞,却被忽略

  这听见起来很奇怪,在互联网时代,Gaana作为互联网大型公司,是很容易遭受到这类攻击的。更奇怪的是,这样大型的公司竟然无视报告给他们的漏洞并忽略了,将百万用户信息安全置之不顾!

  大多数数据泄露基本都是因为黑客发现了漏洞并报告给公司的时候,公司却忽略了漏洞,这常常惹恼了黑客,黑客便会在第一时间公开其用户信息。

  

白帽黑客提交gaana.com漏洞却被官方忽略以致被黑

  互联网时代CEO Satyan Gajwani 回复了黑客在Facebook的帖子后,针对公司没有回应Mak Man发现的安全报告事件进行了公开道歉。

  “我知道你的目的并不是暴露Gaana的用户信息,而是想反映漏洞。”Gajwani补充说。“我们已经处理了漏洞,并且100%会重视这个问题,我能请求你把检索引擎给关闭了并删除掉数据库么?”

  Gajwani随后在Twitter上声明公司已经严肃处理了漏洞并且正在修复。同时声明了这次事件中并没有财务和敏感信息泄露。同时建议用户尽快重置密码。

  然而,如果仅仅重置密码并不能完全解决问题,因为漏洞目前尚未修复。建议在问题解决之前还是先关闭你们的账户。除此之外,如果在其他网站,比如Facebook和Twitter上使用了与在Gaana上使用了同样的密码。那么我们建议您更改邮件地址以及密码。

  最新信息

  “我特此声明在入侵Gaana.com上没有获取到财务信息,因为数据库如此之大,我也没有泄露出去或本地存储(一条记录也没有)“ Mak Man 在Facebook上发出了以上帖子。

  然而,尽管黑客说他没有通过SQL注射漏洞下载Gaana.com的数据库,但这并不意味着其他人通过这个漏洞下载了,因为漏洞从前几个月就一直存在着。

  同时,有可能在前几天其他人在公司不知道的情况下利用了这个漏洞并获取了信息。

原文地址:https://www.77169.com/news/HTML/20150530012627.shtm

转载请注明来自华盟网,本文标题:《白帽黑客提交gaana.com漏洞却被官方忽略以致被黑》

喜欢 (0) 发布评论