Zomato数据库被黑客入侵: 密码很容易破解

Zomato的数据被从数据库中窃取了大约1700万个用户记录，其中包括用户的电子邮件地址以及哈希密码。该公司昨天在博客中透露了这一点。但是，看起来保护密码的系统很容易破解，并且该数据早些时候以比特币价值在黑暗的网络上出售，价格约为70,000卢比。

现在，Zomato在新的博客文章中表示，有关黑客已同意不在线出售数据，该公司将为安全研究人员启动一个bug赏金计划。

Zomato的最新博客文章说: “黑客与我们非常合作。他/她希望我们承认系统中的安全漏洞，并与道德黑客社区合作填补空白。他/她的关键要求是我们为安全研究人员运行一个健康的bug赏金计划。“根据Zomato的说法，该公司将很快在Hackerone上引入一个bug bounty程序，并声称黑客已同意销毁所有被盗数据的副本。

阅读更多: Zomato报告大量数据泄露，1700万帐户受到影响

博客文章承认，超过 “660万个用户在 '泄露' 数据中有密码散列”，从技术上讲，这些可以被黑客用 “暴力算法” 解密。Zomato早些时候的博客文章没有谈到如何轻松破解密码，尽管最新的一篇文章承认了这一点。

报告称Zomato使用MD5散列密码，这应该是较低级别的加密之一。这种方法很容易被黑客破解，以获取他们想要的数据。

Zomato本身尚未确认公司对这些帐户和密码使用哪种加密形式。关于信用卡和借记卡数据，Zomato说，这是 “与这些 (被盗) 数据分开存储在高度安全的pCI数据安全标准 (DSS) 兼容的保险库中。”该公司声称付款信息没有被盗。

无论哪种方式，Zomato对660万用户的数据泄露都是相当大的。总共暴露了五个数据点，其中包括用户id，名称，用户名，电子邮件地址和哈希密码。该公司补充说，黑客已经向他们提供了有关他/她如何进行攻击的所有详细信息。它说他们已经解决了导致数据泄漏的安全问题。

“这一事件使我们的团队以负责任和及时的方式解决我们所有安全问题的承诺更加坚定。我们期待与道德黑客社区更加紧密地合作，使Zomato成为我们用户更安全的地方，”Zomato在其安全通知更新中指出。

Zomato事件展示了在线公司面临的安全问题，这些公司正在处理大量数据。Zomato承认它对用户帐户密码使用了一种简单的加密方法，这令人担忧。即使信用卡数据没有被盗，对于这些用户中的许多人来说，如果用户也保存了信用卡/借记卡/钱包信息，它也会使他们的Zomato帐户面临风险。

对于当前的Zomato用户，应对此类问题的最佳方法是更改密码。最好是更强大的东西，而不仅仅是你的名字。