域名城(domain.cn)5月10日消息 PwnedList宣布將在2016年5月16日關閉。PwnedList是能夠報告網站何時被攻破以及憑據是否泄漏的網站。
?
記者Brian Krebs爆料該公司存在安全問題,允許惡意攻擊者監測任意域名的敏感信息泄漏情況,而不需要經過正當的身份驗證程序。
域名持有人驗證程序存在漏洞
?
默認的情況下,當用戶在PwnedList創建一個賬戶,想要追蹤其網站的用戶網上登錄憑證信息在網絡上泄露的情況,只需要在操作列表中添加域名作為監控的對象。
?
為了驗證用戶的身份,PwnedList會發送郵件驗證鏈接。正常情況下,當真實用戶收到郵件后,需要點擊其中的鏈接,打開確認頁面進行驗證。
?
而安全專家Bob Hodges告訴Brian Krebs,確認頁面是沒有與前一階段的驗證流程做綁定,即要求驗證的域名與發送驗證鏈接中要求驗證的域名用戶并無綁定。這意味著只要通過修改鏈接URL上的部分參數,攻擊者偽裝成任意域名的擁有者。
?
Krebs隨后進行操作驗證Hodges的說法是否屬實。很快他收到了apple.com的憑證信息是否被泄露的確認郵件,但顯然,他并不是apple.com的域名持有人。
?
攻擊者可以通過PwnedList跟蹤任意網站
?
攻擊者利用這一漏洞可以追蹤任意網站的憑證泄漏情況,并收到網站漏洞報告。目前,PwnedList 總計有101,047個網站泄露的 866,434,472個賬戶信息。
?
在Krebs向Alen Puzic驗證這一漏洞存在后,跟蹤服務被暫時下線。Alen Puzic是PwnedList的創始人,目前在InfoArmor任職。隨后PwnedList 發布了該服務將關閉的信息。公告如下,
?
感謝你成為我們的用戶,讓我們可以為你提供與你相關的個人賬戶的風險狀況。PwnedList于2012年上線啟動,很快便成為行業中的領航者。隨后于2013年,出于商業發展考慮,PwnedList決定將自身業務出售給企業基礎服務提供商InfoArmor公司。而在這個過渡的過程中,PwnedList網站計劃于2016年5月16日關閉。如果你對商業版的身份信息保護方案感興趣,請移步到infoarmor.com獲取更多的信息。我們很高興能夠幫助你去降低被泄露的賬戶信息所帶來的風險。
點我進入原文?/ ?點我進入原文
?
點我進入原文?/ ?點我進入原文
?
