纯文本密码可能再次出现

美国国家公共数据公司(NPD)上周证实，该公司去年12月遭遇了一次安全漏洞。据称，NPD数据库被盗，其中包含29亿行数据，包括社保号码。4月，一个名为USDoD的黑客组织在暗网上以350万美元的价格出售了该数据库，这些被盗数据随后被发布在多个地方。

现在，KrebsOnSecurity报告称，一个与NPD大致相同的网站recordscheck.net被发现托管了一个档案，其中包含网站登录信息以及该网站部分工具的纯文本源代码。这些信息足以访问与NPD相同的消费者记录。现已删除的文件包含NPD创始人SalvatoreVerini的电子邮件数据，他是一名演员，也是佛罗里达州退休的警长。

在与KrebsOnSecurity的电子邮件交流中，Verini写道，该文件包含一个带有“无效代码”的旧网站版本，该网站将在“未来一周左右”停止运营。Verini没有进一步置评，理由是“正在积极调查”。KrebsOnSecurity还发现，Verini为存档源代码中提到的一家网络开发公司CreationNext撰写了一份积极的推荐信。

自上个月黑客论坛上发生事件以来，出现了几个网站，例如AtlasDataPrivacyCorp的npdbreach.com和npd.pentester.com，声称它们提供搜索服务，以查明您的信息是否包含在事件中。当然，使用这些服务意味着您需要将您的姓名、出生年份，甚至您的SSN填入某人的表格中。正如Krebs所指出的，鉴于已经有许多事件暴露了类似的信息，最好的做法可能是冻结您在主要机构(Equifax、Experian和TransUnion)的信用报告，并利用您有权获得的免费每周信用报告。