俄罗斯流媒体平台“START”(start.ru)承认此前有关影响数百万用户的数据泄露传闻属实。据START平台管理员称,黑客从公司系统中窃取了2021数据库,目前正在网上分发样本。被盗数据库中的信息包括电子邮件地址、电话号码和用户名。START表示这些信息价值不大,大多数网络犯罪分子不会感兴趣,因为它不能用于获得帐户特权。平台进一步强调,用户的财务信息、银行卡数据、浏览记录、账户密码等信息不受影响,因为上述高价值隐私信息未被数据库收录。目前,START表示已经修复了相关漏洞,并关闭了黑客对平台的数据访问。然而,安全专家表示,即使START出于安全原因不强制执行全局重置,用户也应该更改密码。至少750万用户受到影响8月28日,START平台数据泄露的传闻率先在社交平台上流传开来。当时有报道称,包含近4400万用户信息和高达72GBMongoDBJSON转储数据的数据开始在暗网上分发。不过也有用户表示,这些数据显然包含了很多测试账号,所以真实用户数量应该不会有4400万之多。转储包含大约750万个独特的电子邮件地址,许多人认为这更接近数据泄露的真实用户。已知的最新数据泄露日期是2021年9月22日,这意味着在此日期之后注册START平台的用户将不会受到影响。有趣的是,对于START主页,俄罗斯新闻媒体Medusa报道称,他们在START的密码恢复工具上测试了泄露数据库中的随机条目,结果证明所有登录都是有效的。根据START的声明和dump的信息对比,两者的区别在于dump中包含md5crypt哈希密码、IP地址、登录日志和订阅详情,这些都没有包含在平台的官方声明中。俄罗斯收紧数据泄露规则在针对俄罗斯在线平台的网络攻击活动不断增加的情况下,莫斯科正在实施各种方法来保护用户数据免遭未经授权的访问,并保护其公民的信息安全。据相关媒体报道,俄罗斯数字发展部正在推动一项计划,创建一个“不可接受的IT安全实践”登记册,以提高组织领导的安全意识。该部门还提议设立一个专项基金,用户将在该基金中补偿数据库泄露的受害者。该基金的资金来源之一是对存在安全漏洞或数据泄露的实体进行罚款。拟议的法律草案提议对违规公司处以年营业额3%的罚款,以激励公司制定和应用良好的安全实践。
