近80萬Brazzers論壇用戶的詳細信息被洩露。

早在2009年，它就獲得了AVN最佳****獎。三年後，790724名用戶的私人信息遭到洩露。這是一場隱私噩夢，類似於2015年的Ashley Madison數據轉儲。

似乎洩露用戶的色情習慣還不夠糟糕，這可能會產生更廣泛的影響。

發生什麼事了？

我們應該看到這樣的事情發生。一些人認為這會影響到所有訪問過****的人，但事實並非如此。儘管如此，它確實暗示了一個廣泛的漏洞，可能會影響到大多數有討論論壇的網站。

但首先，讓我們關注一下Brazzers，世界上最受歡迎的125000個網站中發生了什麼。如果我們把Alexa的搜索範圍限制在印度，它就在前25000名。這看起來似乎沒什麼，但考慮到互聯網上有大約10億個網站，這是相當令人印象深刻的。

這起違規事件發生在2012年，這是公認的很久以前。這是當年以來我們才奇怪地聽到的一些洩密事件之一，其中包括LinkedIn和Dropbox，後者影響了大約6800萬用戶。

Brazzers本身並沒有被攻破——相反，它是它的論壇，這實際上更令人擔憂。另外，普通的巴西賬戶持有人可能仍然有理由擔心。網站公關經理馬特·史蒂文斯解釋說：

The incident occurred because of a vulnerability in the said third party software, the "vBulletin" software, and not Brazzers itself. That being said, users' accounts were shared between Brazzers and the "Brazzersforum" which was created for user convenience. That resulted in a **all portion of our user accounts being exposed and we took corrective measures in the days following this incident to protect our users.

那很好，但是沒有人知道事情發生的時間。這遠非月亮果應對最近一次襲擊的令人欽佩的方式。

用戶名、電子郵件地址和密碼都被洩露了，但論壇是人們討論他們最深願望的地方：而以前，這些幻想隱藏在一個神祕的用戶名後面，這將用戶的特殊癖好與他們的電子郵件地址聯繫起來。

儘管數據集包含928072封電子郵件，但其中許多都是重複的。這仍然使790724個獨立用戶受到影響。

怎麼會更糟呢？

考慮到我們只是剛剛聽說這件事，你可能會認為影響不大。畢竟，如果受害者的情況很糟糕，我們早就聽說了。然而，這是非常令人關注的，特別是隨著***的增加。

但有兩個主要原因可能比最初聽起來更糟。

首先，這些密碼是純文本的。您可能想知道負責任的網站如何安全地存儲密碼。答案是，不是純文本。純文本沒有什麼安全性。這意味著，如果有人要訪問包含您密碼的數據集，它將準確讀取您如何輸入密碼。不管你的密碼是不是有史以來最複雜、看起來最安全的密碼：黑客只要讀懂就行了。

純文本意味著沒有加密，沒有鹽漬，沒有散列。任何一個網站仍然以這種形式存儲一些重要的東西，這絕對是瘋狂的。****的用戶尤其希望得到非常高級別的加密，但這一漏洞提醒我們，即使是一些最流行的網站也會對你的私人信息使用不安全的方法。

vBulletin的進一步黑客攻擊顯示，論壇軟件允許用戶根據自己的喜好加密密碼，因此我們可以推斷，Brazzers本身就是使用純文本的罪魁禍首。

然而，核心問題恰恰是vBulletin中的一個漏洞，它被近40000個實時站點使用。針對漏洞的補丁已經**完成，但它們自然要依靠網站的管理員來升級。這是個問題。

gta球迷也受到了影響

上個月，廣受讚譽的俠盜獵車手系列網站GTAGaming上近20萬個賬戶的詳細信息被洩露，包括電子郵件地址、出生日期、IP地址和密碼，後者至少被哈希兩次（儘管只使用M5算法）並被加密。這促使網站徹底拋棄vBulletin：

We have now closed the forums permanently, and any accounts not updated within the next couple weeks will be deleted from the database. We will be moving the account database into a more secure authentication system, removing all trace of the vBulletin forum software, and until then will be keeping a close eye to prevent any further compromises.

考慮到使用vBulletin的知名網站的數量——特別是包括ubuntuforums.org網站，Linux操作系統的官方論壇——vBulletin的一個主要問題可能會引起嚴重的麻煩。VBulletin本身去年遭到攻擊，導致所有用戶都必須更改密碼，開發者的鏈接網站VBTeam也是如此。

你能做什麼？

你應該做的第一件事是檢查你的電子郵件地址是否是洩露的一部分。如果你在火鍋上，那就值得做了。如果你不知道，你還可以看看我被解僱了嗎？，這將告訴你你是否遭受了任何違規行為的侵害，無論是在NSFW網站、MySpace等社交媒體網站上，還是Gmail這樣的電子郵件提供商。

如果你是受害者，你肯定需要改變你的密碼，無論是在布拉澤論壇上還是在你的電子郵件地址。僅僅因為你的數據被包含在了漏洞中，這並不意味著騙子實際上已經管理了用垃圾郵件轟炸你，或者欺騙你的地址。另一方面，由於這一洩露發生在2012年，你有可能已經遭受任何後果。

儘管如此，如果你有一個Gmail帳戶，你可以檢查你的活動監視器，以確保沒有任何可疑的事情發生。事實上，我們總是建議跟蹤最新的安全漏洞——同樣，以防萬一。

如果你要註冊一個可能需要保密信息的網站（比如任何令人尷尬的祕密），請使用一個獨特的電子郵件和密碼，這將使潛在的網絡犯罪分子更難將你的真實姓名與網上交易聯繫起來。

如果您是一個依賴vBulletin的站點的管理員，請確保更新它。最近的補丁是上個月，這是在多人Dota2的論壇被破壞後出現的，影響了190萬個帳戶。

可以吸取什麼教訓？

這並不是那些使用Brazzers論壇的人的錯，但是討論社區的用戶在輸入敏感數據時仍然應該格外警惕。任何使用****的人也應該注意。

是時候讓公司意識到使用M5加密密碼是不安全的了，更不用說純文本了！如果你發現一個網站使用後者，你應該通知純文本罪犯。

對於任何受影響的人，或者任何擔心類似網站可能成為黑客攻擊目標的人，你還有什麼建議？