Board logo

标题: RockYou首席技术官:现在做最坏的打算 [打印本页]

作者: zclzhao    时间: 2009-12-16 21:34     标题: RockYou首席技术官:现在做最坏的打算

社交应用开发商RockYou今天证实,已经正式通知其数百万用户他们的用户名和密码可能已被黑客获取,该黑客入侵了该公司被称为widgets的老应用。
RockYou首席技术官沈佳在接受专访时称,上周安全公司Imperva职员曾提醒RockYou,发现存在针对RockYou.com的SQL注入攻击。RockYou关闭了其传统应用的网站,并对它们进行安全加固。

这个过程大约花了一天时间。然后公司开始仔细检查自己的数据库,以发现任何被攻击的证据。沈佳表示,公司不清楚黑客在攻击中都做了什么。公司正在与执法部门联系,但他没有透露更多信息。

沈佳表示,“我们现在做最坏的打算,我们检查日志后发现,我们接到告警的前几天,攻击行为就已经开始进行。”

事实上,此前黑客已经公布了部分被盗的用户名和密码。沈佳证实称,这些都是来自RockYou数据库的合法密码,但他不知道究竟有多少帐号信息被盗。他强调称,RockYou目前的Facebook应用和它的广告网络未被攻击,而且不容易受到同类攻击的威胁。在RockYou转型为 Facebook应用开发商之前,widgets是其主要业务。

沈佳称,“我们花了很长时间来开发widgets,其代码编写时间要早于Facebook平台,我们现在遭到了很多指责。但我想澄清,除了widgets之外,RockYou其它应用没有受到影响。”

尽管如此,沈佳认为这次攻击所带来的影响非常严重。举例来说,如果用户在其使用的每一个网站上都使用相同用户名和密码,包括他们的网络银行账号,他们就很可能面临身份信息被盗的风险。

据一用户称,此前RockYou就和其它网站一样非常容易被攻击。沈佳表示,以前他没有接到过widgets存在易被SQL注入攻击的风险告警。

他表示,“我们最初是一个小公司,现在我们拥有不同的工程架构。但是此次安全事故令我们蒙羞。如果你犯了一个错,那么别人就有趁虚而入,何况这是个大漏洞。”

沈佳承认,用户名和密码被存储在未经加密的数据库中,这是另外一个安全大忌。这就是黑客能够直接获得密码的原因所在。公司已经开始通知用户,但还需要一段时间才能通知完。沈佳承认公司曾在10天内未公开表态,但他们在那段时间一直在忙于通知用户和合作伙伴。

该公司正在通知用户修改自己在RockYou网站上的密码,以及修改那些其他网站上相同的密码信息。

沈佳表示,“未来我们的安全措施肯定将更强壮。”




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2