澳大利亚同步加速器警告:有漏洞,不危险。
澳大利亚核科学与技术组织(ANSTO)正在调查澳洲同步加速器( Australian Synchrotron )计算机安全事件,据称有黑客盗取了登录科学家的用户名和口令。
黑客出处尚未查清,但供ANSTO和第三方请求使用该原子碰撞设施的Web门户托管系统确实遭到了攻击。众多聪明大脑的电子邮箱地址和口令,被恶棍流氓给窃取了。
该设施被一系列科学和国防应用所使用,从亚原子粒子研究,到生物医学、制药和制造业。
4号凌晨1点钟发给澳洲同步加速器门户系统的使用者的一封邮件中称,2017年1月27日,黑客通过未公开漏洞闯入了该设施系统。
“澳洲同步加速器用户门户向广大用户道歉,1月27日发生一起安全事件,注册用户的邮箱地址和加密口令,被未授权人士利用安全漏洞盗取。”已采取立即行动解决该漏洞,澳洲同步加速器用户门户的全面安全审查也正在进行。
该门户还要求用户填写姓名、学历、公司、部门、职位等信息,另附有街道地址、电话号码、国籍、性别等填写选项。
目前,该安全事件的影响范围尚未得到该实验室的立即回复。
用于单向加密口令的散列算法具体是哪一个我们尚不清楚:只能希望不是那个过时但很流行的MD5,而是像bcrypt、PBKDF2或尖端的Argon2这样的算法。作为预防措施,该设施的用户已被要求重置密码。
如果那些口令可被破解,在其他网站重用同样口令和邮箱对的“书呆子们”,就将面临也失去这些账户控制权的风险。
同步加速器一位接触被黑网络的发言人已与该机构其他人士隔离,以便ANSTO能够排除被黑用户数据库以外的其他系统。
ANSTO的卢卡斯高地校园里放着的澳洲唯一一台核反应堆,也与该数据库完全隔离了。
“作为预防措施,所有用户都被要求重置口令。”该发言人称。