著名的定制t恤和商品网站CafePress被爆遭遇数据泄露，据说泄露了将近2300万客户的个人信息。

今天，用户不是通过CafePress，而是通过Troy Hunt's has I Been Pwned service的通知才意识到这个漏洞。

在听说CafePress的数据泄露正在流传之后，亨特向安全研究员吉姆·斯科特(Jim Scott)寻求帮助。斯科特过去曾帮助他处理过其他数据泄露事件，比如Evite。

斯科特通过电子邮件告诉BleepingComputer：“安全研究员吉姆·斯科特很好。大约两周前，特洛伊通知我，CafePress.com的数据泄露正在流传，如果我看到了的话。当时，这一数据泄露的唯一公开来源是数据泄露搜索引擎WeLeakInfo，据我所知，它并没有被出售。在同事的帮助下，我开始更彻底地搜索数据库，直到找到为止。”

BleepingComputer的研究显示，一个拥有大约493，000个账户的去灰CafePress数据库正在黑客论坛上出售。尚不清楚这是否与同一违规行为有关。

据HIBP称，CafePress在2019年2月遭到黑客攻击，泄露了23205290名用户的个人信息。这些公开的数据包括电子邮件地址、姓名、密码、电话号码和物理地址。

Scott进一步告诉BleepingComputer，一半被攻击用户的密码是用base64 SHA1编码的，按照今天的标准，这是一个非常弱的算法。另一半用户包含用于通过Facebook和Amazon登录的第三方令牌。

“我注意到，特洛伊在第一次宣布数据泄露时，忘记添加密码也受到了安全事件的影响，现在已经得到了纠正。在2300万受到攻击的用户中，大约有一半的用户的密码是用base64 SHA1编码的，这是一种非常弱的加密方法，尤其是在2019年有更好的替代方案时。其余通过FaceBook或亚马逊(Amazon)等第三方应用程序使用CafePress的用户没有密码泄露。”

在撰写本文时，CafePress还没有回应BleepingComputer的查询，也没有就数据泄露发表声明。

唯一显示出问题的是CafePress用户在试图登录该网站时被迫重置密码。在此密码重置策略中，也没有提到违规。

密码重置不是泄露！

公司需要更好地让用户控制自己的数据。如果发生数据泄露，公司有必要披露这些信息，以便用户能够充分保护自己。

然而，一家公司在一周内第二次决定，重置密码是他们披露黑客入侵的第一步。首先是StockX，现在是CafePress。

密码重置通知必须与破解通知同时执行。

这不是第一次也不会是最后一次。

转自：BleepingComputer