現在很多人都會在手機、平板上看漫畫,各種線上漫畫應用五花八門,《Mangatoon》就是一款在全球都非常有知名度的應用程式。可近日《Mangatoon》上可不太平靜, 2300 萬筆用戶資訊遭駭客竊取並且轉手就給流出去了,可是說是近期來數量最大的外洩事件之一。
知名線上看漫畫應用「Mangatoon」資料外洩,2300 萬位用戶數據外流
不管在 Android 還是 iOS 平台上都非常流行的漫畫閱讀平台《Mangatoon 》近期遭遇數據外洩的荼毒,駭客從其位於 Elasticsearch 伺服器的資料庫中一口氣竊取了 2300 萬筆用戶資訊後直接洩漏出去。Mangatoon 用戶現在可以在 HIBP 上以電子郵件位址搜尋,檢查他們的帳戶是否在被外洩的清單中。
近日 HIBP(Have I Been Pwned)在其平台上增加了 2300 萬筆來自 Mangatoon 的外洩資料。HIBP 服務的創建者 Troy Hunt 在其 Twitter 帳戶上寫道,5 月份時 Mangatoon 被竊取的資料中包含了用戶的姓名、電子郵件信箱、性別、社交媒體帳戶身分、社交登入身分 token 和 MD5 密碼哈希。在 Troy Hunt 與 Mangatoon 公司就數據外洩問題聯繫未果之後,將這筆數量龐大的外洩加入 HIBP 網站上。
Lot’s of chirping crickets at @MangatoonEN, both on Twitter and via email. Any other ideas? At least one other person has been trying to reach them for much longer than me too.
— Troy Hunt (@troyhunt) July 6, 2022
整起外洩事件是由名為「pompompurin」的知名駭客所進行,由於 Mangatoon 用來存放資料庫的 Elasticsearch 伺服器的安全性太弱,所以才被得逞。pompompurin 向國外媒體 BleepingComputer 表示,在他發信告知 Elasticsearch 之後,他們僅變更了憑證,但並沒有任何回覆,甚至也沒有通知他們的客戶。pompompurin 還與 BleepingComputer 共用遭竊數據樣本,經確認這些都是 Mangatoon平台上的有效帳戶,當被問及他們是否會公開發表或出售資料庫時,他們說可能會在某個時候洩露出去。
pompompurin 還參與過其他備受矚目的駭客事件,包含透過 FBI 的執法企業入口網站(LEEP)發送虛假的網路攻擊郵件,以及從 Robinhood 竊取客戶數據等,在 RaidForums 駭客論壇被執法部門查封后,pompompurin 另起爐灶推出了一個名為 Obsible 的類似論壇。