昨日,據外國媒體hackread報道,100759591 條優酷賬戶信息數據庫在暗網售賣,該數據庫售賣價格定為比特幣 0.2559,,人民幣約 2065.56 元。
去年年底,就有網友透露自己的優酷會員賬號、密碼被洩露在網上。而當時優酷客服堅稱,平臺不會洩露用戶信息,僅建議用戶重新註冊。然而hackread曝出這次上億的數據庫也是在2016年洩露,時至今日優酷直接被打臉了。
據瞭解本次洩露的信息均被 MD5 和SHA1 哈希算法加密。但是SHA-1加密哈希函數已經實施了20多年,早就被曝出不安全。Chrome在2014年就開始對SHA-1加密的網頁進行警告,並在今年年初,Google直接宣佈破解SHA-1。2016年的信息數據,優酷仍使用SHA1 哈希算法,可見其加密等級並不太安全。
同時,國內信息安全服務商GDCA還發現,優酷網站的SSL證書的有效時間是2017年4月13日到2017年12月23日,使用的是SHA256哈希算法加密。但在此之前,優酷使用的SSL證書是否也是SHA256算法?這需要考究。
什麼是MD5?
用於確保信息傳輸完整一致。是計算機廣泛使用的雜湊算法之一(又譯摘要算法、哈希算法),主流編程語言普遍已有MD5實現。將數據(如漢字)運算為另一固定長度值,是雜湊算法的基礎原理。
什麼是SHA-1哈希算法?
SHA-1是一個散列函數(或哈希函數),曾經是最流行的加密算法,被用來驗證數字文件,以及保護信用卡安全的簽名的完整性。文件中產生數字指紋(就像人的指紋一樣),從而讓你驗證文件的完整性,又不會暴露整個文件內容,只需要檢查哈希值即可。如果散列函數一切正常,每個文件會產生唯一的哈希值,所以如果哈希值能匹配上,文件本身也能匹配上。這對於登陸系統尤其重要,因為它需要在不暴露密碼本身的情況下,驗證密碼是否正確。
目前,優酷似乎還沒對該事件做出任何回覆。
近幾年,關於的信息洩露事件越來越多,然而大部分是因為網絡的基本安全級別相對薄弱。如google要求網站設置HTTPS安全協議,大部分網絡管理員投機取巧,使用最節約成本的免費SSL證書設置。然而免費的SSL證書的安全等級普遍不高,並不適合所有的網站平臺。所以GDCA建議廣大企業以及管理員,設置網絡安全基本設施,必須要結合自身特點,選擇安全級別高的產品。
GDCA是一家提供信息安全證書的運營企業,從事信息安全證書數十載,在信息安全方面擁有雄厚的實力。GDCA已通過WEBTRUST國際認證,具備了國際化的電子認證服務能力。其中,GDCA的 產品之一SSL證書是一種服務器端的數字證書,它能確保用戶在使用SSL協議進行數據交換時驗證和確保數據安全。GDCA SSL證書使用的加密長度是128/256位。據目前IT技術,40位強度的證書暴力破解耗費4小時,而對於128位證書破解需要一萬億年以上。目前,GDCA SSL證書是國內領先的安全證書。日後,GDCA將會堅持不斷深入研發,為各大網絡商業平臺提供更安全的信息安全證書,為網絡安全虛擬世界貢獻一份微弱的力量。