新西兰云存储托管平台Mega上万登陆凭证遭泄露

据外媒ZDNet报道，Mega—— 这家于新西兰成立并提供在线云存储和文件托管服务的公司，目前被发现其平台中有成千上万的帐号凭证信息已在网上被公开发布。被泄露的信息以文本文件形式提供，据了解这份文本文件包含超过15500条用户名、密码和文件名的数据，这意味着这些帐号都曾出现异常登录的情况，并且帐号中的文件名也被爬取了。

ZDNet表示他们已验证这些帐号，确认这些数据来自Mega，通过联系多位用户，还确定这些电子邮件、密码和一些文件都是在Mega上使用的。

这份文本文件最早由Digita Security公司的首席研究官和联合创始人Patrick Wardle于6月份在恶意软件分析Virus Total上发现，而这份文件是在几个月前由一名据称在越南的用户上传的。

Wardle 提供的数据截图

据"Have I Been Pwned"网站的管理员Troy Hunt分析，这些数据并不是通过直接入侵Mega 而获取的，而是被撞库了。他说文件中98％的电子邮件地址已经存在于他的中（于先前的漏洞中收集）。ZDNet也表示，在他们联系的人中，有五人说他们在不同的网站上使用过相同的密码。

目前还不知道是谁创建的这份列表，也不知道这些数据是如何被爬取到的。虽然Mega 提供端到端加密，但登录时没有使用双因素身份认证方式，因此攻击者只需使用登录凭据便可登录每个帐户，并抓取帐号中文件的文件名。

Mega董事长Stephen Hall表示，Mega不能通过检查文件内容来充当审查员的角色，因为它在被上传到Mega 之前已在用户的设备上被加密，除了在技术上不可行之外，Mega 和其他主要云存储提供商实际上也做不到，毕竟每秒上传100 多个文件。

这不是Mega第一次遇到安全问题。2016年，黑客声称通过利用其中的安全漏洞获取了内部Mega文档。黑客还表示获取了与管理帐户关联的七个电子邮件地址。

Stephen Hall表示当时没有任何用户数据遭到破坏。（本文源自开源中国。）

--------------------

微信公众号名称：“个人信息与数据保护实务评论”

微信号：DataProtectionReview

我们致力于提供中国个人信息/数据保护/隐私保护最新资讯，包括法规速递、执法机关动态、行政执法、民事诉讼、中外执法交流、学术研究等。提供案例解析、理论介绍、律师实务操作指南，以及原创个人信息/数据保护/隐私保护评论和文章，部分内容为中英文双语。欢迎您的关注。