• 电话:18981716800(推销勿扰)
  • QQ/微信:958818(加好友请说明原因)
首页 > 资讯中心 > 域名资讯 >
资讯中心

因安全问题 数据监控跟踪网站PwnedList将关闭

时间:2016-05-10浏览:1次
  5月10日消息 PwnedList宣布将在2016年5月16日关闭。PwnedList是能够报告网站何时被攻破以及凭据是否泄漏的网站。
 
  记者Brian Krebs爆料该公司存在安全问题,允许恶意攻击者监测任意域名的敏感信息泄漏情况,而不需要经过正当的身份验证程序。
 
  域名持有人验证程序存在漏洞
 
  默认的情况下,当用户在PwnedList创建一个账户,想要追踪其网站的用户网上登录凭证信息在网络上泄露的情况,只需要在操作列表中添加域名作为监控的对象。
 
  为了验证用户的身份,PwnedList会发送邮件验证链接。正常情况下,当真实用户收到邮件后,需要点击其中的链接,打开确认页面进行验证。
 
  而安全专家Bob Hodges告诉Brian Krebs,确认页面是没有与前一阶段的验证流程做绑定,即要求验证的域名与发送验证链接中要求验证的域名用户并无绑定。这意味着只要通过修改链接URL上的部分参数,攻击者伪装成任意域名的拥有者。
 
  Krebs随后进行操作验证Hodges的说法是否属实。很快他收到了apple.com的凭证信息是否被泄露的确认邮件,但显然,他并不是apple.com的域名持有人。
 
  攻击者可以通过PwnedList跟踪任意网站
 
  攻击者利用这一漏洞可以追踪任意网站的凭证泄漏情况,并收到网站漏洞报告。目前,PwnedList 总计有101,047个网站泄露的 866,434,472个账户信息。
 
  在Krebs向Alen Puzic验证这一漏洞存在后,跟踪服务被暂时下线。Alen Puzic是PwnedList的创始人,目前在InfoArmor任职。随后PwnedList 发布了该服务将关闭的信息。公告如下,
 
  感谢你成为我们的用户,让我们可以为你提供与你相关的个人账户的风险状况。PwnedList于2012年上线启动,很快便成为行业中的领航者。随后于2013年,出于商业发展考虑,PwnedList决定将自身业务出售给企业基础服务提供商InfoArmor公司。而在这个过渡的过程中,PwnedList网站计划于2016年5月16日关闭。如果你对商业版的身份信息保护方案感兴趣,请移步到infoarmor.com获取更多的信息。我们很高兴能够帮助你去降低被泄露的账户信息所带来的风险。

  点我进入原文 /  点我进入原文