科技独角兽 Dave 被爆安全漏洞，750 万用户数据被免费下载

技术编辑：芒果果丨发自思否编辑部
SegmentFault 思否报道丨公众号：SegmentFault

前有米高梅 1.4 亿用户信息泄露，后有推特账号被大规模入侵，许多人的个人隐私已经被安全漏洞撕开保护层，直接暴露在光天化日之下。

这不，数字银行应用的科技独角兽 Dave 又被爆出安全漏洞，750 万用户数据在黑客论坛被公开下载。

此前，一名黑客在一个公共论坛上公布了 Dave 的 7516625 名用户的详细信息。安全漏洞曝光后，Dave 解释说，这次的安全漏洞来自于前商业伙伴 Waydev 的网络，是一个工程团队使用的分析平台。

Dave 的以为发言人称，“由于 Dave 的前第三方服务提供商 Waydev 公司遭到入侵，一个恶意团体最近在未经授权的情况下访问了 Dave 的某些用户数据。”

目前，Dave 已经堵住了黑客的访问入口，并正在通知客户此事件，Dave 的应用程序密码在暴露后也被重置。

Dave 方面表示，“意识到此事后，公司立即展开了调查，目前调查仍在进行中，并且正在与执法部门协调，包括与 FBI 合作调查声称已破解密码并尝试出售 Dave 用户数据的黑客。”Dave 还请来了网络安全公司 CrowdStrike 协助调查。

一位了解到 Dave 用户数据泄露的人士向外媒透露，有黑客正在 RAID 上提供 Dave 应用的用户数据，RAID 是一个黑客论坛，以黑客泄露数据库的首选场所而闻名。

这次泄露 Dave 用户数据的黑客也非常有名，是名叫 ShinyHunters 的黑客组织（或个人），ShinyHunters 的“战绩”还包括出售过包括 Mathway、 Tokopedia、 Wishbone 等其他公司的数据。

Dave 的用户数据目前在黑客论坛上提供免费下载，论坛成员使用积分就可以解锁下载链接。

这 750 万用户数据中，包含大量信息，比如用户的真实姓名、电话号码、电子邮件、出生日期和家庭地址，甚至包括用户的社会安全号码。但 Dave 说，这些细节是加密的。外媒获得数据副本后证实了这一点。

这些数据的密码也是加密的，使用 bcrypt 进行散列，bcrypt 是一种散列函数，可以防止黑客查看明文密码。

Dave 方面说，目前，他们没有证据表明黑客利用这些数据进入用户账号执行了任何未经授权的操作。

Dave 750 万用户的数据已经在黑客论坛上被公开免费下载，虽然目前还未发生入侵账户进行操作的情况，但数据泄露带来的隐患是无法预料的。

数字化时代，个人信息只能靠着一串串数字和字符保护，数据安全关乎每个人。安全漏洞频发，一味的在漏洞曝光后“堵住”入口只是亡羊补牢，防患于未然才是上策。