俗话说,人可以佛系,密码不可以。
弱密码这事儿一直让人挠头,但私人教师社交网站 SuperProf 上赶着给黑客送了一块“肥肉”。
事情要从SuperProf 收购了伦敦公司 The Tutor Pages 说起,被收购后 Tutor Pages 旗下的教师被转移到了 SuperProf 平台上,最为关键的收费标准、科目、地址和学生表扬信等却没有一道转过来,这意味着教师们很难在平台上找到新活。
这就算了,SuperProf 居然随意给教师客户们分配了非常不安全的密码。随意到什么程度呢?也就是给每个用户的名字前硬加了个“Super”。
emmmm,你没看错,这么尴尬的操作还真出现了。
这次可是惹了众怒,教师客户炸锅了:密码这么随意,黑客暴力破解就能拿到,到时候就会远程登录我的电脑,卸载我的杀软,投放他的病毒,盗取我的信息,加密我的文件,掏空你的钱包……
一些老师将这一问题反映给了信息安全专家兼隐私保护倡导者 Graham Cluley。对整个事件进行一番了解后 Cluley 表示:“SuperProf 给新用户的密码太好猜了,简直就是把肥肉往黑客嘴边送。”
Clarinetist Lisa 就是向 Cluley 反映密码问题的老师之一,Lisa 都快气炸了。此外,她还声称自己的简介也被 SuperProf 篡改了。
“它们修改了我的收费标准,给我加了个‘第一节课免费’。最恶心的是,我居然不能修改,除非付费升级并修改成那种弱智密码,这不是往黑客枪口上撞吗?”Lisa 说道。“它们还删掉了我所有的学生表扬信和网络链接,我可是付了费的。”
本周五,El Reg 给 SuperProf 写了邮件,要求它们对此事发表评论。不过这家网站一直都没做出回应,也不知道它们到底解没解决为自己和用户引来一场大风暴的密码乱象。
截至发稿前,SuperProf 终于有动静了,它们表示网站已经重设了密码,而且正在重新录入教师简介。
SuperProf 还发了一份声明,对密码问题作出回应,
SuperProf 对安全非常重视,我们清楚的知道这对业务的运营有多么关键。
就像 Cluley 说的,我们已经有所行动,用随机字符重设了所有迁入新用户的密码。
我们还给所有 The Tutor Pages 的教师发邮件解释了迁移修正和密码重设的问题,同时我们也鼓励用户修改密码。我们手上有所有The Tutor Pages 教师简介的备份,到时他们可以决定到底是重新移植还是升级现有教师简介的信息。
在发布声明后,Cluley 发现 SuperProf 确实用随机字符更换了受影响的密码。
雷锋网Via. The Register
雷锋网雷锋网