熱門P2P文件共享平臺(tái)BitTorrent Sync爆出“棱鏡”后門,用戶數(shù)
責(zé)編:admin |2014-11-20 14:43:43流行的P2P文件共享平臺(tái)BitTorrent Sync最近在一次代碼審計(jì)中發(fā)現(xiàn)存在漏洞,可能會(huì)泄露用戶的Hash值。
BitTorrent Sync基于P2P網(wǎng)絡(luò)實(shí)現(xiàn)設(shè)備間跨平臺(tái)文件同步(Android、iOS、Windows、Mac、Linux等),功能上與Box和Dropbox類似,但號(hào)稱比云存儲(chǔ)更快更安全,不但文件傳輸通過安全密鑰進(jìn)行加密,而且還承諾信息絕不會(huì)存儲(chǔ)到云端任何服務(wù)器中,其文件下載速度據(jù)說是流行的云存儲(chǔ)服務(wù)Dropbox的16倍。(編者按:對(duì)于Dropbox之類隨時(shí)有可能被墻或者被凈化的所謂云存儲(chǔ)來說,BitTorrent Sync 將信息的所有權(quán)和控制權(quán)完全交給了個(gè)人用戶,當(dāng)然,最大的優(yōu)點(diǎn)是幾乎沒有存儲(chǔ)空間限制)
在云存儲(chǔ)安全事件頻發(fā)而個(gè)人信息設(shè)備終端多樣化的今天,BitTorrent Sync的熱度不斷飆升,目前大約1000萬用戶下載了BitTorrent Sync。但最新的漏洞讓BitTorrent也蒙上了棱鏡門的陰影。(編者按:NSA等情報(bào)部門最喜歡對(duì)憤怒的小鳥、WhatsApp這樣的熱門游戲或者熱門工具下手)
在Hackito的研究組通過對(duì)BitTorrent Sync的審計(jì)發(fā)現(xiàn)了一個(gè)潛在的后門,這個(gè)后門有可能是NSA或者其他政府的情報(bào)部門安裝的。
“這個(gè)后門是在BitTorrent Sync的第一版后引入的。這可能是應(yīng)美國政府的要求引入的。”美國政府發(fā)過一封關(guān)于國家安全的信件給各個(gè)企業(yè)要求他們提供密鑰或者在安全加密產(chǎn)品中引入后門以便政府進(jìn)行監(jiān)控。BitTorrentInc(BitTorrent Sync的運(yùn)營公司)或者其開發(fā)者也許收到過這封信。
Hackito的研究組發(fā)布的分析表明,BitTorrent Sync存在潛在的泄露getsync.com的Hash值得風(fēng)險(xiǎn),從而使得攻擊者能夠看到所有BitTorrent Sync上的私人數(shù)據(jù),此外,客戶端還存在著一些漏洞。研究組的建議是,暫時(shí)不要在BitTorrent Sync上存放敏感數(shù)據(jù)。
BitTorrentInc還沒有對(duì)此事進(jìn)行明確表態(tài),不過聲稱要在不久后發(fā)布一個(gè)詳細(xì)的說明。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧