根据特洛伊·亨特(TroyHunt)的说法，密码数据和其他属于2个网站的220万用户的个人信息----一个密码钱包服务和另一个游戏机器人提供商----根据特洛伊寻线(TroyHunt)说，我背后的安全研究人员遭到了违反通知服务。

其中包括来自GateHub加密货币钱包服务的多达140万个帐户的个人信息。另一个包含RuneScapebot提供商EpicBot上大约80万个帐户的数据。这些数据库包括注册的电子邮件地址和密码，这些密码都是用bcrypt加密的，bcrypt是最难破解的函数之一。

发布3.72GBGatehub数据库的人说，它还包括双因素身份验证密钥、助记短语和钱包散列，尽管Gatehub官员说，一项调查表明钱包散列没有被访问。与此同时，EpicBot数据库据称包括用户名和IP地址。亨特说，他从两个数据库中选择了一个有代表性的帐户样本，以验证数据的真实性。他检查的所有电子邮件地址都注册到了这两个网站的帐户。

文件中的数据属于GateHub帐户持有人的另一个指示是：这个Twitter帖子。它来自AashishKoirala，一位自称软件开发人员，他说他最近收到了消费者信用报告服务Experian的身份保护部门的通知。柯伊拉腊说，这份通知通知他说，“我的@GateHub证书在黑暗网站上被发现了。”

@troy亨特刚从Experian的IDNotify那里得到消息说，我的@GateHub的凭据在黑暗的网络上被发现了。如果你收到任何关于门枢纽入侵或黑客的消息。

-AashishKoirala（@aashishkoirala）2019年11月14日。

虽然这两个转储中有220万个唯一地址，但每个转储中可能没有包含相应的密码散列或其他数据。

8月底，Gatehub账户数据被发布到一个被广泛访问的黑客网站上。三个月前，该加密货币服务机构报告称，该网站遭到黑客攻击。GateHub说，攻击者窃取了--或至少试图窃取--1.8万多个用户账户的大量敏感信息。该帖子的措辞不清楚哪些数据是成功地获得了访问令牌之外的数据。

GateHub官员写道：

正如我们之前在调查更新中所建议的那样，我们相信犯罪人获得了未经授权的访问数据库，该数据库持有我们客户的有效访问令牌。使用这些令牌，犯罪行为人访问了18，473个加密客户帐户，这在我们的用户总数中只占很小一部分。在受影响的帐户上，以下数据被锁定：电子邮件地址、散列密码、散列恢复密钥、加密xrp分类账钱包(仅限于未删除的钱包)、名(如果提供)、姓氏(如果提供的话)。

GateHub的披露还说，网站官员通知了账户被访问的用户，并生成了新的加密密钥和重新加密的敏感信息，如分类账钱包秘密密钥。

该数据库的发布意味着钱包服务在7月份披露的漏洞比此前预期的要大得多。攻击者不仅获得访问令牌，还拿走了2FA密钥、电子邮件地址、密码哈希、助记符短语以及可能的钱包散列。更重要的是，这一漏洞影响了多达140万GateHub用户，而不仅仅是披露中提到的18，473人。在一封电子邮件中，一名未透露姓名的GateHub安全小组成员写道：

我们知道RaidForms上有一个数据库，其作者声称它属于GateHub。我们的小组正在对所谓的GateHub数据库进行彻底审查，因此，我们目前无法确认其真实性。我们将确保随时通知您的任何更新。

从我们到目前为止收集的资料来看，它不包含钱包散列。如前所述，我们仍在核实其真实性。

我们对网络攻击的最初反应之一是向所有的GateHub帐户引入重新加密。随着新的重新加密，所有的GateHub帐户都被重新加密，我们所有的客户都必须更改他们的密码。这是在2019年7月提出的。

这份声明没有解释为什么调查在发布25天后和第一次访问4个月后一直无法核实数据的真实性。官员们所说的“重新加密”也不清楚。

亨特告诉我：“(数据库中)有对PGP的引用。”“有一些似乎是PGP加密的字符串。我不确定它们是否旋转。它们是在谈论旋转密码散列，还是在谈论与钱包相关的PGP部分？”

与此同时，EpicBot泄密事件于10月25日被发至同一黑客论坛，与GateHub垃圾场同一天。亨特说，它包含大约80万个唯一的电子邮件地址，以及用户名、IP地址和bcrypt哈希密码。EpicBot的官员没有回应对这篇文章发表评论的请求。我在EpicBot网站上找不到任何关于入侵的消息。

其他类型的个人信息泄露可能高达220万个账户，这就不那么令人钦佩了，特别是因为几乎没有证据表明所有受影响的用户都及时收到了通知。EpicBot用户应该尽快更改他们的密码。对于GateHub用户来说，考虑到7月进行的强制更改，不需要重新设置密码。但是记忆短语应该被替换，假设它们还没有被替换。

为了避免不断增长的凭据填充攻击的威胁，这两个站点的用户还应该更改使用已泄漏凭据的其他站点的密码。用户还应该警惕使用他们个人信息的鱼叉、网络钓鱼和其他形式的攻击。