專門提供外洩資料搜尋服務的LeakedSource上周指出,社交網路暨多媒體娛樂業者FriendFinder Networks於今年10月遭到駭客入侵,估計有超過4億筆的用戶帳號曝光,成為有史以來最大宗的資料外洩案,第二名是社交網站MySpace所外洩的3.6億筆用戶帳號。
FriendFinder Networks旗下擁有超過8000個網站,已經LeakedSource證實用戶帳號曝光的皆屬FriendFinder Networks旗下的成人網站,包括號稱全球最大色情社群的Adultfriendfinder.com,色情視訊網站Cams.com、Stripshow.com、iCams.com,以及成人內容網站Penthouse.com等。
其中,光是Adultfriendfinder.com就有接近3.4億筆的用戶資料曝光,再加上其他網站,總計有超過4.1億筆的用戶資料流落在網路上。
率先揭露此一攻擊事件的是暱稱為1x0123的安全研究人員,他發現駭客透過本地文件包含(Local File Inclusion,LFI)漏洞攻擊FriendFinder Networks,相關漏洞允許駭客將伺服器上的本地文件輸出到外部的應用程式中。
LeakedSource的分析則顯示,在這些外洩的用戶資料中,有高達99%的密碼是清晰可見的明文。前五名最常用密碼依序是123456、12345、123456789、12345678、1234567890。
CSO取得了FriendFinder Networks法律顧問Diana Lynn Ballou對此事的回應,表示他們已得知有關此一安全意外的報告,並正在進行調查以確認是否屬實,若真有此事,將會著手解決並通知所有受到波及的用戶。
去年5月,FriendFinder Networks亦曾對外證實Adultfriendfinder.com被駭而造成400萬用戶的資料外洩。