现在很多人都会在手机、平板上看漫画,各种线上漫画应用五花八门,《Mangatoon》就是一款在全球都非常有知名度的应用程式。可近日《Mangatoon》上可不太平静, 2300 万笔用户资讯遭骇客窃取并且转手就给流出去了,可是说是近期来数量最大的外泄事件之一。
知名线上看漫画应用「Mangatoon」资料外泄,2300 万位用户数据外流
不管在 Android 还是 iOS 平台上都非常流行的漫画阅读平台《Mangatoon 》近期遭遇数据外泄的荼毒,骇客从其位於 Elasticsearch 伺服器的资料库中一口气窃取了 2300 万笔用户资讯後直接泄漏出去。Mangatoon 用户现在可以在 HIBP 上以电子邮件位址搜寻,检查他们的帐户是否在被外泄的清单中。
近日 HIBP(Have I Been Pwned)在其平台上增加了 2300 万笔来自 Mangatoon 的外泄资料。HIBP 服务的创建者 Troy Hunt 在其 Twitter 帐户上写道,5 月份时 Mangatoon 被窃取的资料中包含了用户的姓名、电子邮件信箱、性别、社交媒体帐户身分、社交登入身分 token 和 MD5 密码哈希。在 Troy Hunt 与 Mangatoon 公司就数据外泄问题联系未果之後,将这笔数量庞大的外泄加入 HIBP 网站上。
Lot’s of chirping crickets at @MangatoonEN, both on Twitter and via email. Any other ideas? At least one other person has been trying to reach them for much longer than me too.
— Troy Hunt (@troyhunt) July 6, 2022
整起外泄事件是由名为「pompompurin」的知名骇客所进行,由於 Mangatoon 用来存放资料库的 Elasticsearch 伺服器的安全性太弱,所以才被得逞。pompompurin 向国外媒体 BleepingComputer 表示,在他发信告知 Elasticsearch 之後,他们仅变更了凭证,但并没有任何回覆,甚至也没有通知他们的客户。pompompurin 还与 BleepingComputer 共用遭窃数据样本,经确认这些都是 Mangatoon平台上的有效帐户,当被问及他们是否会公开发表或出售资料库时,他们说可能会在某个时候泄露出去。
pompompurin 还参与过其他备受瞩目的骇客事件,包含透过 FBI 的执法企业入口网站(LEEP)发送虚假的网路攻击邮件,以及从 Robinhood 窃取客户数据等,在 RaidForums 骇客论坛被执法部门查封后,pompompurin 另起炉灶推出了一个名为 Obsible 的类似论坛。
