搜房网发现黑客后门可能导致750万用户明文密码泄露
企业存储用户明文密码到底有没有错?乌云君觉得如果能保管好这些密码安全倒也无妨,可试问国内有几家公司能拍胸脯承诺做的到?所以还请企业不要尝试存储这些明文密码数据,小心别成全了黑客,也给其他行业带来灾难!
在无数的企业这两年都经历了"拖裤"的惨痛教训后,现在依然有很多企业不信邪,还是义无反顾的在记录用户的明文密码,而且还无能力保护住密码,成为黑客惦记的目标,比如:搜房网的某线上系统。
http://img.bitscn.com/upimg/allimg/c150827/14406494540N10-23044.jpg
这个漏洞真的很不应该,因为漏洞源自2013年乌云疯狂预警的Struts2命令执行漏洞,没错都2015年了,搜房网还存在这个漏洞。
http://img.bitscn.com/upimg/allimg/c150827/1440649455C1Z-31Q8.jpg
乌云白帽子利用这个漏洞看了下网站当前目录,惊讶的发现最起码一个月前就有黑客进来了,留下了后门程序。乌云白帽发现这台漏洞服务器竟然身处搜房网的内部网络,内部网络中发现了用户数据库!
9W用户信息!
http://img.bitscn.com/upimg/allimg/c150827/14406494563Z60-4K54.jpg
18W用户信息!!
http://img.bitscn.com/upimg/allimg/c150827/144064945D1250-53539.jpg
634W用户信息!!!
http://img.bitscn.com/upimg/allimg/c150827/144064945HQ20-E2a.jpg
更令人愤怒的是,都这年头了,用户密码居然还明文保存!现在不是用户不信任企业,而是企业一次又一次的让我们失望至极。多个黑客后门+明文储存密码,这些互联网企业啊,你怎么让用户放心使用?
页:
[1]