流行的心理治疗平台shift泄露27万用户数据

由于网络安全的疏忽，超过 270,000 名精神治疗寻求者的电子邮件地址被公开。

1 月 24 日，Cyber​​news 研究团队发现了一个可公开访问的数据库，属于另一个灵性平台 The Shift Network。 该平台每月有超过 80 万访客，提供课程和网络研讨会，并推广有关能量治疗、心灵技能发展、萨满教实践、巫术和其他新时代精神实践的活动。

Web 服务器启用了目录列表，其中包含 2021 年的数据库备份。该数据库很可能在站点的生产环境中使用。

打开带有备份的 Web 目录

2GB 的泄露数据暴露了超过 270,000 封属于平台用户的电子邮件。泄露如此大量的电子邮件地址会构成严重威胁，因为它们可能被恶意行为者利用进行垃圾邮件和网络钓鱼攻击。

该数据库还公开披露了属于该平台管理员的 200 多个凭据，包括电子邮件和散列密码。此外，它还透露该网站使用的软件包和插件对平台的安全构成了风险。

发送给演讲者的电子邮件

虽然泄露的员工密码经过哈希处理，但它们很可能被破解并用于进一步访问公司的内部系统。

演讲者的电话号码

这可能导致攻击者启动勒索软件等恶意有效负载，并泄露更多的客户数据。掌握有关网站使用的插件和软件包类型的信息将进一步帮助恶意行为者利用该平台。

泄露员工凭证

此次泄露还暴露了该平台提供的精神课程中演讲者的个人数据。数据包括姓名、电子邮件地址、电话号码以及他们参加的活动。恶意行为者可以利用这些数据进行网络钓鱼和有针对性的欺诈尝试。

泄露演讲者的电子邮件