天创培训:您身边的信息安全培训专家!
行业动态
亚马逊否认数据泄露,然后要求用户重置密码

像是每个公司都会把“保持谨慎的态度”挂在嘴边一样,亚马逊最近“出于谨慎的考虑”,开始重置一部分用户的密码,这些用户的个人信息都曾在网上有过不同程度的泄露。 

亚马逊表示,这次密码重置并不是因为我们被入侵了,公司服务器还是十分安全的。只是亚马逊的一个安全人员在网上发现了部分亚马逊用户的个人信息,应该是这些用户注册的其他网站在被入侵的时候不小心泄露出来的。所以亚马逊只是为了以防万一才决定重置下部分用户密码。
不是我们泄露的——亚马逊
因为亚马逊不能确定他们的用户会不会再次使用那些已经被泄露的密码,所以为了安全起见,亚马逊选择了重置。
从上周开始,就有用户发Twitter证明他们收到了亚马逊发来的密码重置的邮件,但这还只是一小部分。在接下来的一周内,相信有更多用户会陆续收到这封邮件。邮件如下图所示:

 
截至目前,还无法确定亚马逊此次密码重置的行为到底覆盖了多少用户。
2015年7月事件回溯
类似的密码重置事件还发生在去年7月。一个名为0x2Taylor的黑客在Twitter上上传了一份文件,文件内包含亚马逊8万Kindle用户的账户信息。
在当时的情况下,亚马逊否认被黑了并不是没有道理的。要知道,想要收集信息,不一定非要去入侵固若金汤的服务器。黑客可以直接通过恶意软件来收集用户的登录信息,像是password dumpers, infostealers, 键盘记录器这些工具,都可以在用户不知不觉的时候就完成了信息的收集。
但这次事件证明,事实并非如此。在几小时后,因为亚马逊无视了0x2Taylor报告的安全问题,他又po出了一些截图,都是关于泄露数据的。
有人设法在文件被删除之前进行了备份,据说泄露的数据信息包括用户的电子邮箱,密码,所在城市和国家,电话号码,邮政编码,useragent字符串,IP地址和街道信息。
这次事件的似乎是更加倾向于0x2Taylor的版本,不过亚马逊应该对自己没有被牵扯进更大型的信息泄露丑闻中去而感到庆幸。不像雅虎,动辄就是上亿的用户信息泄露。