Aptoide 被黑：超过 2000 万个账户暴露

我们在之前的场合已经评论过：信息和个人数据是 21 世纪的新石油。数字公司和黑客都与他们进行交易，还有谁在网络上遭受的任何帐户泄露最少。本周轮到了 拟态。

虽然银行的详细信息没有被泄露，被盗的个人信息也很少， 数以百万计的访问凭据已被暴露. Apotide是全球最大的独立应用商店，注册用户总数超过1.5亿。一个非常受欢迎的、分散的、基于区块链的替代应用程序存储库，允许开发人员在平台的全球集团内创建自己的应用程序商店。

黑客于 4 月 17 日通过 Twitter 帐户曝光 在违约之下，澄清了超过 3900 万个 Aptoide 帐户将被复制，过滤 公共访问论坛中的 2000 万个帐户 以证明攻击的真实性。日志包括电子邮件地址、SHA-1 哈希密码、姓名、出生日期、帐户状态、最近登录的用户代理以及相应的 IP 地址。同样的，如果一个账号属于超级管理员权限的用户，也会注明。

在这个可怕的消息之后，无疑让平台所有者改变了立场，Aptoide 通过其博客回应了新的更新数据，表明泄漏将影响 4900 万个帐户。不过，也澄清了 大约 3200 万用户使用了 OAuth 身份验证 使用您的 Facebook 和 Google 帐户登录，因此在这些情况下不会破坏密码。其余帐户的密码使用 SHA-1 哈希，这是一种目前不再被认为安全的哈希算法。

个人数据的泄漏是最小的，是的，尽管它代表着巨大的危险

我们可以说黑客数字相当低，主要是由于 Aptoide 使用的开放访问模型。因为虽然我们需要有一个帐户才能在平台上发表评论和评分，但应用程序下载和更新是开放的，不需要注册就可以这样做。他们还从 Aptoide 记录到，在所有泄露的帐户中，很少有人有姓名或出生日期，并且没有可以利用的银行数据或其他敏感信息。

现在，这并不意味着黑客攻击对用户无害或危险性较低。如果第三方可以访问我们的 Aptoide 帐户，则意味着他们可以 未经我们许可在我们的设备上下载 APK 因此被恶意软件感染的风险很高。

因此，如果我们使用 Aptoide 下载应用程序，强烈建议我们尽快更改访问密码。目前还不清楚有权访问开发者帐户的攻击者是否可以利用此次事故分发损坏的应用程序，因此警报仍然很高。

他们从 Aptoide 保证他们正在努力解决问题。就目前而言， 他们已禁用所有活动 在需要使用帐户（登录、评论、评级和评论）的平台上。这不会影响下载，可以继续正常进行，但是当 Aptoide 重新打开大门时，将要求用户更改其访问密码。