黑客叫卖 Wishbone 4000 万注册用户的数据

外媒报道称，一名黑客正在叫卖 Wishbone 4000 万注册用户的详细信息，且宣称这批数据是在今年早些时候的黑客攻击活动中窃取的。作为一款流行的移动 App，其允许用户通过简单的投票调查，在两个物品之间展开比较。然而 ZDNet 指出，Wishbone 的大量注册用户信息正在多个黑客论坛上挂牌叫卖，价格仅为 0.85 个比特币（约 8000 美元）。

卖方挂出的示例表明，数据库中包含了 Wishbone 的用户名、电子邮件、电话号码、所在城市、以及密码的哈希值等信息。

黑客声称密码为 SHA1 格式，但 ZDNet 审查发现样本中包含 MD5 格式的密码。

作为一种弱密码散列格式，MD5 很容易被暴力破解算出原始的纯文本字符串，甚至线上就有许多可免费使用的破解工具。

此外数据库汇总包含了指向 Wishbone 个人资料图片的链接，样本中明显涵盖了大量的未成年人用户群体。

黑客声称 Wishbone 应用数据是在今年早些时候发生的一次攻击中窃取的，样本中包含的用户注册和最后登录日期可证明这一点（追溯到 2020 年 1 月），但目前尚不清楚是谁将它挂到黑客论坛上叫卖的。

ZDNet 分析发现，该黑客目前还在兜售数十家其它企业的数据库（总计超过 15 亿条记录），且大多数都来自前些年有被报道过的企业，比如 2017 年波及 Wishbone 的 220 万用户数据泄露事件。

尽管 Wishbone 未披露近年来的用户规模数据，但该 App 多年来一直是 iOS App Store 排名前 50 的社交类应用（甚至在在 2018 年窜升至前 10），谷歌 Play 商店的下载量也在 500 ~ 1000 万之间。

（稿源：cnBeta，封面源自网络。）