几天前,餐馆搜索服务应用Zomato的数百万用户信息遭到泄露。昨日,Zomato和造成这次信息泄露的黑客达成了协议,将答应对方一定的条件,以移除网络上被盗用户的信息。
目前,Zomato这家印度创企的每月用户多达1.2亿。前天相关报道指出,这家公司有大约1700万用户的邮箱地址和密码遭到泄露;随后,Zomato澄清这其中有60%的用户是通过第三方的OAuth服务(比如Facebook和谷歌)进行登录的。但即便如此,仍然有将近700万用户的信息是由于Zomato的入口直接受到波及。因此,倘若他们在其它服务上也使用了相同的邮箱和密码,那么他们的利益可能还会进一步受到损害。
尽管Zomato一再表明,想要解密自己用户的密码绝对不是一件简单的事情,但毫无疑问它被打脸了,一些网络安全专家表示自己能非常轻松地破解掉一些用户的密码,还有人甚至觉得Zomato在加密技术上根本没花什么心思。
而承认对本次入侵负责的黑客告诉媒体,早在一年前,他就已经发现了Zomato的基础设施存在漏洞,容易受到攻击,并且给这家公司写了份报告,但Zomato并没有回复。于是,他采取了更加“简单粗暴”的方式——将Zomato的数据放在黑客网站上进行出售。这次Zomato就非常积极地进行“合作”,主动和这位黑客进行交流。
Zomato的首席技术官Gunja Patidar表示:“这位黑客想要让我们承认Zomato的系统的确存在漏洞,并要求我们和黑客们进行合作以寻找这些漏洞,他(她)主要的要求就是让我们设立漏洞赏金,鼓励人们寻找Zomato的漏洞。”
现阶段,Zomato基本同意了这一建议。其实,一年前,Zomato就已经和美国漏洞披露平台HackerOne建立了合作;然而,它至今都没有为那些想要提供漏洞报告的黑客设立金钱奖励。不过,相信很快着就会得到“改善”。
Patidar补充道:“很快我们会对HackerOne推出漏洞悬赏,而这位黑客已经保证会将所有被盗数据从黑客网站的市场上下架,并将所有备份数据删除掉。这次事件会让我们团队比以往更加重视网络安全问题。我们很期待和黑客群体进一步合作,从而为用户打造一个更加安全的Zomato平台。”
本文转自d1net(转载)
