用戶名前加個「Super」就是密碼了？這家網站心真大

俗話說，人可以佛系，密碼不可以。

弱密碼這事兒一直讓人撓頭，但私人教師社交網站 SuperProf 上趕著給黑客送了一塊「肥肉」。

事情要從SuperProf 收購了倫敦公司 The Tutor Pages 說起，被收購後 Tutor Pages 旗下的教師被轉移到了 SuperProf 平台上，最為關鍵的收費標準、科目、地址和學生表揚信等卻沒有一道轉過來，這意味著教師們很難在平台上找到新活。

這就算了，SuperProf 居然隨意給教師客戶們分配了非常不安全的密碼。隨意到什麼程度呢？也就是給每個用戶的名字前硬加了個「Super」。

emmmm，你沒看錯，這麼尷尬的操作還真出現了。

這次可是惹了眾怒，教師客戶炸鍋了：密碼這麼隨意，黑客暴力破解就能拿到，到時候就會遠程登錄我的電腦，卸載我的殺軟，投放他的病毒，盜取我的信息，加密我的文件，掏空你的錢包……

一些老師將這一問題反映給了信息安全專家兼隱私保護倡導者 Graham Cluley。對整個事件進行一番了解後 Cluley 表示：「SuperProf 給新用戶的密碼太好猜了，簡直就是把肥肉往黑客嘴邊送。」

Clarinetist Lisa 就是向 Cluley 反映密碼問題的老師之一，Lisa 都快氣炸了。此外，她還聲稱自己的簡介也被 SuperProf 篡改了。

「它們修改了我的收費標準，給我加了個『第一節課免費』。最噁心的是，我居然不能修改，除非付費升級並修改成那種弱智密碼，這不是往黑客槍口上撞嗎？」Lisa 說道。「它們還刪掉了我所有的學生表揚信和網路鏈接，我可是付了費的。」

本周五，El Reg 給 SuperProf 寫了郵件，要求它們對此事發表評論。不過這家網站一直都沒做出回應，也不知道它們到底解沒解決為自己和用戶引來一場大風暴的密碼亂象。

截至發稿前，SuperProf 終於有動靜了，它們表示網站已經重設了密碼，而且正在重新錄入教師簡介。

SuperProf 還發了一份聲明，對密碼問題作出回應，

SuperProf 對安全非常重視，我們清楚的知道這對業務的運營有多麼關鍵。

就像 Cluley 說的，我們已經有所行動，用隨機字元重設了所有遷入新用戶的密碼。

我們還給所有 The Tutor Pages 的教師發郵件解釋了遷移修正和密碼重設的問題，同時我們也鼓勵用戶修改密碼。我們手上有所有The Tutor Pages 教師簡介的備份，到時他們可以決定到底是重新移植還是升級現有教師簡介的信息。

在發布聲明後，Cluley 發現 SuperProf 確實用隨機字元更換了受影響的密碼。

雷鋒網雷鋒網

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！