数据安全警示录：XKCD论坛在56万会员数据泄露后关闭，密码安全应提升

绝地灬酷狼 2024-04-18 16:04 10阅读 0赞

原文：[https://cs.enmotech.com/db/6262 （复制链接至浏览器，即可查看）][https_cs.enmotech.com_db_6262]

**导读：**XKCD论坛是与流行的webcomic XKCD（网络漫画）相关的网站，在近期被披露超过 562,000 名会员的个人信息在线曝光后，已脱机关闭。

![20190909135900148.jpg][]

目前该网站页面显示服务不可用，并提示用户立即修改自己的相关密码：

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2V5Z2xl_size_16_color_FFFFFF_t_70][]

根据安全研究员Troy Hunt的说法，这个漏洞发生在两个月前（2019年7月1日），已泄露的警报网站相关内容已被删除（HIBP）。  
XKCD在一份通知中说：“**我们已经收到警告，我们论坛中 部分PHPBB用户表 出现在泄露的数据集中**。” “它很可能是利用论坛软件中的漏洞利用一些自动扫描收集的。”  
**暴露的信息** \- 由白帽安全研究员和数据分析师Adam Davies提供给HIBP - 包括用户名，电子邮件地址，散列密码，在某些情况下还包括注册时的IP地址。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2V5Z2xl_size_16_color_FFFFFF_t_70 1][]

美国作家兰德尔·门罗（Randall Munroe）于2005年创作的漫画的标语是“浪漫，讽刺，数学和语言的网络”，并经常以数学，科学和流行文化的笑话为特色。  
XKCD使用phpBB，这是一个免费的开源论坛软件，内置在PHP编程软件中，根据Hunt的说法，**密码是以MD5 phpBB3格式进行哈希处理的。**  
散列是一个获取用户提供的明文密码，并通过在多次迭代中添加可选的盐字符串，将其转换为混乱的随机字符的过程，然后存储在数据库中，而不暴露用户的真实密码。这是一种单向加密功能。  
虽然MD5仍然被广泛使用，但密码散列方案（以及SHA1）被认为是不可靠的，不像BCRYPT，SCRYPT和Argon2等更强大、更新的替代方案。  
正是由于这个原因，网站，网络，移动和其他应用程序必须使用强密码散列系统来保护用户数据。  
该事件还提供了另一个强有力的警示，即软件需要更新，特别是当它们来自第三方。  
尽管phpBB已经使用3.1及更高版本迁移到BCRYPT，但XKCD论坛的早期用户很可能使用MD5进行密码散列，MD5在用BCRYPT替换之前是phpBB的标准。  
实际上，如果在登录时使用哈希升级方案将用户从MD5移动到BCRYPT，则可以避免这种情况  
目前，同样的谨慎规则适用。如果您遇到受影响的人，请立即更改您的XKCD密码，以及您使用相同（或类似）密码的任何其他帐户。

[https_cs.enmotech.com_db_6262]: https://cs.enmotech.com/db/6262
[20190909135900148.jpg]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/77ea35b3576643ac8b69770eb2d858a9.jpg
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2V5Z2xl_size_16_color_FFFFFF_t_70]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/87d84c27e6a44f8793b95d1642af87c8.jpg
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2V5Z2xl_size_16_color_FFFFFF_t_70 1]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/0a97d4df3cd14e9d9714a6dcd5139d88.jpg