4006-555-883

ParkMobile泄密事件暴露了2100万用户的车牌数据和手机号码

发布时间:2021-04-15 11:06:00

  据知名网络安全新闻网站KrebsOnSecurity报道,有人正在网络犯罪论坛上出售在北美颇受欢迎的移动停车应用ParkMobile的2100万客户的账户信息。被盗数据包括客户的电子邮件地址、出生日期、电话号码、车牌号、哈希密码和邮寄地址。



  KrebsOnSecurity首次从纽约市的威胁情报公司Gemini Advisory那里听说了这一漏洞,该公司密切关注网络犯罪论坛。Gemini在一个俄语犯罪论坛上分享了一个新的销售线索,在附带的被盗数据截图中包含了一些用户的ParkMobile账户信息、电子邮件地址和电话号码,以及车辆的车牌号。

  当被问及销售线索时,总部位于亚特兰大的ParkMobile表示,该公司在3月26日发布了一则通知,内容是 "发生了一起网络安全事件,与我们使用的一款第三方软件的漏洞有关"。

  “作为回应,我们立即在一家领先的网络安全公司的协助下展开调查,以解决这一事件,”通知中写道。“出于谨慎起见,我们也已经通知了相关执法部门。调查还在进行中,我们目前能提供的细节有限。”

  声明还指出:“我们的调查表明,我们加密的敏感数据或支付卡信息均未受影响。同时,自从了解到该事件以来,我们还采取了其他预防措施,包括消除第三方漏洞,维护我们的安全性以及继续监视我们的系统。”

  当被要求澄清攻击者确实获取了什么信息时,ParkMobile证实其中包括基本的账户信息--车牌号,如果提供,还包括电子邮件地址或电话号码等。

  "在一小部分情况下,可能会有邮寄地址,"发言人Jeff Perkins说。

  ParkMobile并不存储用户密码,而是存储了一种相当强大的单向密码哈希算法的输出,这种算法被称为bcrypt,它比MD5等常见的替代方案更耗费资源,破解成本更高。从ParkMobile窃取并出售的数据库包括每个用户的bcrypt哈希值。

  "你说得没错,bcrypt哈希值和‘加盐’密码都被获得了,"当被问及数据库销售线程中的截图时,Perkins说。

  "注意,我们的系统中并没有保留加盐值,"他说。"此外,被泄露的数据不包括停车历史、位置历史或任何其他敏感信息。我们不会向用户收集社会安全号码或驾驶执照号码。"

  ParkMobile表示,它正在最后确定其支持网站的更新,以确认其调查的结论。但不知道其有多少用户甚至知道这次安全事件。3月26日的安全通知似乎没有链接到ParkMobile网站的其他部分,而且该公司最近的新闻稿列表中也没有它。

  同样令人好奇的是,ParkMobile并没有要求或强迫其用户更改密码作为预防措施。安全研究人员使用ParkMobile应用来重置密码,但应用中没有任何信息提示这是一件及时的事情。

  这次数据泄露事件对ParkMobile来说是在一个关键的时刻发生的。3月9日,欧洲停车集团EasyPark宣布计划收购该公司,该公司在北美450多个城市运营。


  【参考来源:cnBeta.COM;图源自图虫创意】

最新发布
1
2月15日起施行!国家密码管理局等十三部门修订发布《网络安全审查办法》
2
近七成公众担心账号和个人信息泄露,维护网络安全任重道远
3
14.3亿!这家公司将面临比薇娅还高的罚款
4
形势将更严峻!DigiCert发布2022年度八大安全预测
5
频遭网络诈骗,是因为他们还不知道这个……
6
松下集团发生数据泄露 及时部署SSL证书保障信息安全
7
CA/B 论坛年终会议 | 新要求新前景 S/MIME证书和代码签名更新在即
8
All in 安全 电商之痛应当如何化解
9
CA/B三季度信息汇总:效率与安全并重
10
震惊!欧盟健康码疑遭泄露 天威诚信证书管理系统助力私钥安全
相关推荐
《网络安全审查办法(修订草案征求意见稿)》解读
《中华人民共和国个人信息保护法》审议通过
松下集团发生数据泄露 及时部署SSL证书保障信息安全
9月1日,《电信和互联网用户个人信息保护规定》颁布8周年啦
不知道如何“不见面”招投标?天威诚信来帮你!
相约乌镇·共话安全丨天威诚信将亮相2021年世界互联网大会“互联网之光”博览会
2月15日起施行!国家密码管理局等十三部门修订发布《网络安全审查办法》
14.3亿!这家公司将面临比薇娅还高的罚款
谁说电信诈骗“雨你无瓜”?受骗对象90后占6成!
《贵州省人力资源社会保障厅关于推动落实〈电子劳动合同订立指引〉有关工作的通知》政策解读