当前位置：公众IT > 技术文章 > 最大的网站托管提供商之一DreamHost在网上泄露了8.14亿条记录，包括客户数据

最大的网站托管提供商之一DreamHost在网上泄露了8.14亿条记录，包括客户数据

新闻来源：互联网资料整理发布时间：2023/4/5 15:53:06 共计：4630 浏览

A数据库由DreamHost所有，由DreamPress管理的WordPress托管，可在网上公开访问。

3年的DreamPress客户和用户数据在线曝光

2021 4月16日，安全研究员JeremiahFowler与网站Planet研究团队一起发现了一个不受密码保护的数据库，其中包含近10亿条记录。公开的记录显示了WordPress账户的用户名、显示名和电子邮件。监控和文件日志暴露了许多本不应公开访问的内部记录。它们的结构是角色、ID、显示名称、电子邮件和其他与帐户相关的信息。

在进一步研究后，有多处提到DreamHost。这家拥有150多万个网站的知名托管提供商还提供了一个简单的解决方案，可以安装名为DreamPress的热门博客平台WordPress。根据他们的网站：DreamPress是DreamHost的托管WordPress。这是一个可扩展的服务，允许用户管理他们的WordPress网站。

暴露的日志文件包含从2018年3月24日到2021年4月16日的3年记录，每个日志文件都包含DreamHost服务器上托管或安装的WordPress帐户及其用户的信息。我们立即向DreamHost发送了一份负责任的信息披露，数据库在几个小时内就得到了保护。我们收到了一封回复，感谢我们的通知，感谢我们提高了对数据暴露的认识，并被告知他们正在调查暴露情况。5月4日，DreamHost的一名代表承认了这一发现，并通知我们，该发现正在转交给他们的法律团队。

以下是我们发现的内容，包括：

Total Size:86.15 GB/总记录数：814709344
暴露的记录：WordPress安装的DreamPress帐户的管理员和用户信息。其中包括WordPress登录位置URL、名字和姓氏、电子邮件地址、用户名、角色（管理员、编辑、注册用户等）。
可能成为网络钓鱼攻击或其他社会工程诈骗目标的内部和外部用户的电子邮件地址。
由于允许公众访问的配置设置，数据库面临勒索软件攻击的风险。它们还暴露了：主机IP地址和时间戳、构建和版本信息，这些信息可能会为恶意软件提供辅助路径。插件和主题详细信息，包括配置或安全信息，这些信息可能会让网络犯罪分子利用或深入网络。

公开记录的外观

A更深入的外观

记录包含诸如使用了哪些主题和插件等信息。众所周知，运行过时版本的WordPress、插件和主题的网站有更大的漏洞被利用的风险。假设只使用一个互联网浏览器和一个简单的查询命令来搜索这个数据集，以识别过时的插件、主题或没有安装安全问题补丁的版本。我们并不是在暗示DreamHost没有提供WordPress安装的最新版本，而是在强调运行所有软件、插件和安全补丁的最新版本的风险。

在对10万条记录的抽样中，我们能够识别出与WordPress账户相关的电子邮件地址，这些账户涉及广泛的域扩展，包括。政府和。埃杜。抽样调查。gov search query返回了一系列地方和联邦机构的搜索结果，包括美国地质调查局、美国总务管理局、国家公园管理局，甚至伦敦。gov.uk。我们并非暗示这些网站是在DreamPress平台上建立的，只是这些电子邮件可能是用户、管理员或注册用户，并且他们的电子邮件被记录和存储。

这些电子邮件被曝光的危险是，网络犯罪分子会根据域名、帐户或其他只有托管提供商或网站管理员才知道的信息发起有针对性的攻击。我们看到了一些记录，其中列出了与之关联的管理帐户或用户的数量，并列出了添加这些帐户或用户的时间戳。DreamHost在保护客户免受域名劫持或域名盗窃方面享有良好声誉，并免费提供域名隐私。此次曝光似乎只包含与DreamPress管理的WordPress用户相关的信息，而不包含其主机或域客户。

日志还包括“操作”的记录，例如域注册和续订。这可能会给出下一笔付款到期的估计时间，坏人可能会试图伪造发票或制造中间人攻击，网络犯罪分子可以利用社会工程技术操纵客户，提供账单或付款信息以更新托管或域注册。一旦网络罪犯获得了支付信息，信息被使用的可能性和风险就越大。

大多数网络犯罪都是为了经济利益，据估计，到2025年，这些犯罪每年将花费高达10.5万亿美元，98%的网络攻击来自某种形式的社会工程。如果被不道德的行为人发现，这一泄密可能会为网络犯罪分子提供足够的信息，让他们以社会工程攻击为目标，或试图获得账户访问权。我们并不是在暗示DreamHost的客户或用户面临风险，而是在强调这些信息如何可能被用于提高对网络安全影响的认识。

根据记录的结构，他们确定了URL或网站域名以及用户的角色，例如：管理员、编辑、订阅者等。这些信息将提供一个清晰的层次结构图，以及根据他们的角色，谁可能是最有可能的网络钓鱼或社会工程目标。暴露部分管理凭据的危险在于，它会删除访问帐户所需的一半工作。一旦网络罪犯拥有WordPress管理员仪表盘的用户名、电子邮件地址和位置，唯一剩下的就是获取密码。社会工程是建立信任的最简单方法，可以尝试多种方法欺骗受害者提供密码。

目前尚不清楚该数据库被公开了多长时间，也不清楚还有谁获得了这些记录的访问权。目前还不清楚DreamHost的DreamPress用户是否收到了曝光通知。这似乎是近十年来影响Dreamhost的第一起安全事件。2012年11月，一名PasteBin用户发布了一堆似乎属于DreamHost的服务器信息。这些数据包含基本的服务器信息、子域、用户名和密码，以及FTP服务器信息。据维基百科称，DreamHost是一家总部位于洛杉矶的网络托管提供商和域名注册商。它由成立于1996年的New Dream Network，LLC所有。