Category: 新闻 | Page 11 | 卡巴斯基官方博客

2015美国黑帽大会：关于黑客入侵Jeep车的详细介绍

近期，我们就时下热门的”黑客入侵Jeep大切吉诺“主题，写不少与此有关的讨论文章。在今年的网络安全盛会-2015美国黑帽大会上，安全研究专家Charlie Miller和Chris Valasek同样就他们是如何黑客入侵Jeep大切吉诺的整个过程进行了详细阐述。在他们的研究之初，Miller和Valasek试图通过Wi-Fi连接黑客入侵Jeep车的多媒体系统—Jeep的制造商克莱斯勒根据车主意愿选择是否开通这一收费功能。事实证明，黑客入侵这一车载Wi-Fi并非难事，原因在于Wi-Fi密码是基于汽车本身及其多媒体系统（主机）在首次启动时自动生成的。从理论上讲，考虑到日期/时间的极高精确度，这是一种相当安全的加密方法，因为你可以得出成千上万种可能的组合。但如果你能成功猜到要在Jeep车开动后的一小时内时刻与车载Wi-Fi保持连接。因此，这两名研究专家决定另寻他路。令人吃惊的是，他们竟然真的又找到了一个解决方案：结果证明，克莱斯勒车载Wi-Fi密码是在车上设置实际时间和日期之前就已经生成，即在主机启动时在默认系统起始时间基础上再加上几秒而自动生成。那辆大切吉诺的默认系统起始时间是2013年1月1日00:00（格林威治标准时间），或更精确地说，是00:00:32（格林威治标准时间）。这样可能的组合范围就相当小了，即使是业余黑客，猜出正确的Wi-Fi密码也完全是小菜一碟。在成功连上Jeep车的主机后，Miller和Valasek得以找到一种可能的方法来黑客入侵使用Linux操作系统的多媒体计算机。由于软件内的几个问题完全能猜到，因此他们通过利用软件内的漏洞后最终完全掌控了主机系统。尽管攻击范围有限，但却足以惊世骇人：研究专家们不仅能完全控制音乐播放器，还能将收音机调到任何他们想听的频率并能随意调节音量。完全可以想象，当你以70英里/小时（相当于112公里/小时）在高速公路上急速行驶时，收音机突然自动提高了音量，任何人碰到都会悚然一惊，进而可能引发交通事故。研究专家们还发现了另一种可能，即通过车载GPS导航系统追踪目标车辆。你甚至无需更改主机软件就能利用这一漏洞，因为该系统在汽车出厂前就已内置。以上就是如何成功黑客入侵克莱斯勒汽车车载Wi-Fi连接的方法，但前提条件是车主购买了此项功能服务。但就目前而言，许多车主并未购买。而另一方面，克莱斯勒汽车的所有主机均能与Sprint蜂窝网络相连接，就算其车主并未购买任何无线网络服务也同样能成功连接。而这只是针对车载主机类型的一个标准而已。 Miller和Valasek也试图通过这一方法利用漏洞—虽然花费了大量的时间和精力，但他们的努力并没有白费。借助在eBay上购买的’femtocell’（毫微微蜂窝式基站），他们得以进入到Sprint内网，并通过监听某几个电话（他们通过黑客入侵Wi-Fi获得）扫描大量IP地址。利用这一黑客技巧，你可以找到几乎所有配备有此类主机的克莱斯勒汽车。事实上菲亚特克莱斯勒已召回了100多万辆车存在类安全漏洞的汽车。可能你会觉得菲亚特克莱斯勒已将所有问题车辆都召回了，因此完全可以放心选购一辆安全的Jeep车。但事实上这并非易事，正如研究专家所言，”相比其他品牌汽车而言，所有Jeep品牌的汽车几乎都存在这方面的安全问题。” 黑客完全可以借助GPS追踪器，对任何想要黑客入侵的Jeep车下手。在成功入侵后，黑客可以利用车载多媒体系统为所欲为。但我们的故事还远未结束。下一步还需要找到接入CAN总线的途径。CAN总线作为汽车的内网能与车上所有最重要的部件—发动机、传动装置和传感器等（几乎囊括了所有车载部件）互联，原因在于目前Jeep品牌车上的每一个部分均采用电子控制方式。但多媒体系统却并未与CAN总线直接相连。而这正是每当提及网络-物理系统的IT安全时，所有汽车制造商都反复强调的：多媒体系统完全独立于这些系统的联网和物理部分以外。但事实证明，其安全性也并非万无一失，至少对于克莱斯勒汽车而言确实如此。尽管多媒体系统控制器本身无法与CAN总线直接通讯，但却能和与CAN总线互联的另一个部件-V850控制器通讯。简单地打个比喻，他认识个家伙，那个家伙又了解另一个家伙的状况。 V850控制器的软件采用了相对谨慎的设计方式，因此尽管有可能’听从于’CAN总线，但却无法通过它发送命令。但你也知道，这毕竟是一台计算机。你根本无需拆箱操作，只需简单地对计算机重新编程即可将其添加入内。通过与多媒体系统的控制器连接，研究专家们发现了可针对其恶意编写版本更改V850控制器固件的漏洞。在无需检查或授权的情况下，固件即可完成’升级’。尽管存在权限问题，但研究专家们在其中发现了数个漏洞，从而实现了对V850控制器的完全掌控。实际上就是如此简单：在这一步操作完成后，Miller和Valasek即能通过CAN总线成功发送命令，并且对所有汽车部件（千真万确）进行操控。他们能成功操控方向盘、发动机、传动装置和制动系统，更不用提像雨刷、空调和门锁这样更容易控制的汽车部件。而且，他们完全是通过Sprint蜂窝网络远程控制这些汽车部件的。好消息是：Miller和Valasek花费了数年时间才得出了他们的研究成果。而主要的黑客技巧—具体如何掌控与汽车部件连接的CAN总线—在他们的介绍中依然未解释清楚。此外，也并非每一名黑客都能达到上述两名研究专家的技术水平。坏消息是：此类黑客入侵成功的可能性相当高，且产生的破坏性将难以估量。

#kaSPAssion24：斯帕24小时耐力赛

对于广大车迷而言，赛车运动代表着历史、传统、激情与归属感。而有着悠久历史的斯帕24小时耐力赛更是成为了全球性的赛车盛事。于周二开始的比赛先进行首轮多场测试赛，最终将在24小时比赛后于周日下午4:30决出最后的冠军。由卡巴斯基实验室赞助的AFCorse车队拥有包括Alexander Moiseev、Garry Kondakov、Riccardo Ragazzi和Rui Aguas在内的多名车手，他们轮流驾驶Ferrari 458 GT赛车，齐心协力，共同完成比赛。在开赛之初，由于天公不作美下起了磅礴大雨，但即使在如此恶劣的天气条件下葡萄牙车手Rui Aguas依然发挥十分稳定。随后登场的是意大利车手Riccardo Ragazzi，他一出场就出现了许多精彩的超车，并多次跑出了快速单圈。而Alexander Moiseev更是表现出色，他驾驶的赛车几乎每一刻都极具侵略性，其表现与他的同胞车手Garry Kondakov相比毫不逊色。伴随着赛车马达的轰鸣声和现场车迷的欢呼声，比赛逐步进入了胶着状态，同时车手也轮换了多名。在AM级别的比赛中，在我们的赛车多圈跑完后依然占据首位的情况下，由于出现技术问题，赛车不得不在比赛临近结束的时候暂时退出比赛长达数小时。尽管如此，我们依然很高兴能有机会参加这项历史悠久的比赛。

95%的安卓手机可能因MMS而遭受黑客入侵，数亿部手机处于风险之下

这一最令人震惊的网络威胁不断触动着安卓手机用户原本就脆弱的神经：Zimperium zLabs在2015年4月报告了Google操作系统内的6个漏洞。他们还告诉《福布斯杂志》：尽管Google向其合作伙伴发送了补丁，但有些令人难以置信的是，大多数生产商并未修复这些补丁来保护他们的客户。这些bug被认为有史以来发现的最严重的安卓缺陷。安全研究人员宣称95%的安卓设备–约9.5亿部智能手机–暴露在漏洞利用的危险之下。运行2.2版本以下安卓操作系统的老式手机可确保无安全之忧，同样安全的还有Silent Circle最新推出的Blackphone（黑手机）,其操作系统已打上了相关安全补丁。同样针对Nexus手机的相关安全补丁也将于近期发布。只要知道你的手机号码，黑客们就能将恶意软件植入你的手机：即通过受病毒感染的MMS（多媒体短信服务）实现。只要你接受此类短信—恶意软件就能开始自动运行。你甚至不打开受感染的多媒体短信就可能不幸成为受害人，因为手机的操作系统会’帮助你’执行一切操作。这绝对是一种可怕、高效且悄无声息的网络攻击，你说呢？该漏洞存在于Stagefright软件库内。Google Hangouts同样遭受牵连，原因在于该应用常被用作处理视频短信的默认应用程序，因此会激活病毒。一旦不幸安装，该恶意软件则会清除原先的MMS来掩盖所有踪迹。一旦成功运行后，该病毒将不仅通过手机摄像头和麦克风监视你的一举一动，还会将你的个人数据共享到互联网并开展其他犯罪活动。 Google最近针对其Nexus手机开发了另外一些安全补丁，并承诺将于近期发布。但如果你不幸使用其它手机的话，则可能永远也看不到针对你手机的相关安全补丁发布的一天。不幸的是，众多智能手机生产商在提供安全补丁方面可谓名声不佳，尤其当你的手机已上市超过18个月。而与此同时，作为安卓替代系统的CyanogenMod也于近期发布了修复补丁。如果你手机的生产商无法提供安全更新补丁的话，可以参考以下我们精心准备的安全防范措施。你首先需获得安卓手机的root权限，然后禁用Stagefright。当然，你还可以选择使用其他的手机操作系统。你还能买一部在这方面有安全保障的新智能手机（生产商很重要！），然后放心使用直到再出现新的严重安全漏洞。更改设置并停止接收MMS。无论你选择哪一种方法，都仍然会遇到各种不便和麻烦。最快的方法是禁用Hangout的MMS自动抓取功能。只需按照以下步骤操作即可轻松实现：打开Hangout；点击左上角选项；点击设置-> SMS；在高级选项卡内取消勾选自动检索MMS选项。如果你使用的是默认消息应用，同样可以实现：打开消息应用；点击更多->设置->更多设置点击多媒体消息->关闭自动检索我们依然希望智能手机生产商最终能严肃地对待这些安全问题。此外，我们还可以通过向那些在推特上有客户支持账号的智能手机生产商直接发送推文，敦促他们尽快发布相关安全补丁。

超强安全保护：卡巴斯基实验室2016产品系列上市

让我们共同庆贺为消费者量身定制的安全解决方案升级版的推出—卡巴斯基实验室必出精品—卡巴斯基安全软件多设备版和卡巴斯基全方位安全软件多设备版。这些产品专为解决终端用户最关心的安全问题而专门设计，这些安全问题包括：隐私、数据、对身份和资金的盗窃以及对设备本身的保护。据2015年消费者IT安全风险调查显示（不久将来将开展更多这方面的调查），用户愈来愈重视在线安全问题。其中70%的受访用户表示采取了安全防范措施来保护个人数据，而61%的用户则担心自己的设备中可能被植入了间谍软件，而对于网络摄像头不信任的用户则占到了总受访人数的49%，原因是这些用户在日常生活中频繁使用网络摄像头进行’现场表演’。而卡巴斯基实验室产品的新版本在设计之初即将所有这些用户关心的问题考虑在内。它们时刻保卫着大多数用户偏爱使用的设备和平台：Windows、OS X或安卓系统。社交网站、广告和分析代理机构常常会收集有关用户浏览网页的内容、具体位置以及搜索历史等数据。他们只需通过浏览器就能获取这些信息。一旦成功收集此类数据，这些网站和机构就将根据这些信息来确定你的口味和偏好，使得你的浏览页面会不断跳出烦人的广告、发送推销电邮以及将你的个人资料再转卖给其他公司。你是否曾收到过发自某家公司的广告短信，而你根本不知道他们是如何获得你的电话号码？而这正是他们的工作方式！隐私浏览功能可将来自网络流量的此类数据清除并通过专用插件向用户报告任何受阻的请求，Mozilla Firefox、ternet Explorer和Google Chrome浏览器均具有这项功能。而卡巴斯基实验室产品的功能则更为强大，不仅能防止用户通过cookie文件被识别，还能向网站发出不希望传输数据的警告。最终确保这些隐私数据不会从你的设备外泄。另一种普遍存在的问题是用户根本不需要的程序软件在设备内启动，即在用户不知情的情况下，额外的扩展与免费软件捆绑安装。这可能会对浏览器主页、默认搜索引擎以及网络和系统配置产生影响。此类’附赠礼物’还会收集有关用户及其在线行为的信息，并将这些数据用做不同目的。改变控制功能恰恰是用来检测任何尝试引入此类更改的进程，向用户报告并要求这些进程需用户同意后方能运行或者干脆直接阻止。隐私清理工具同样得到了升级，从而以一种更好的方式保护您的隐私。你除了可以用该工具来清除Windows计算机上的用户所有行为痕迹外，还可清理浏览器历史以及最新打开文档清单。如果你担心有偷窥狂黑客入侵你的网络摄像头并对你的个人隐私进行窥视的话，确保启用网络摄像头保护功能。该功能不仅能防止黑客从你的网络摄像头截屏，一旦有合法应用程序访问摄像头时还会立即通知用户，此外还可设置为阻止所有应用程序访问。为确保网银交易安全，卡巴斯基实验室的Mac和PC版反病毒软件通过采用独一无二的安全支付技术，可检查购物或支付网站是否安全以及你是否遭到网络钓鱼页面的欺诈。在测试后，用户即能以一种特殊且受保护的模式打开网站。据2015年消费者IT安全风险调查显示，22%的受访儿童用户在互联网曾遭受某种类型的网络威胁，同时其中的21%造成自给家长的数据丢失或资金受损，因此我们同样对屡获殊荣的PC或Mac版上网管理功能进行了升级。这些控制功能允许用户管理他们孩子的应用程序下载、阻止对不适当网页内容和游戏的访问以及防止个人信息的披露。此外2016系列的便利性也有所提高，你无需检查卡巴斯基实验室产品2016系列是否需要升级和更新，最新的产品中已经包括了自动升级和更新功能，并可通过个人的”我的卡巴斯基账户“进行管理。当然，我还是想告诉读者的是：卡巴斯基实验室反病毒产品旗舰版获得大多数独立研究实验室的认可，且无论在短期还是长期的各项测试中均得到了最高分。

免触支付是否安全？

“您总共消费了12.95美元。”一家当地超市的收银员说道。我取出钱包，熟练地在POS机终端上轻轻一扫，很快就听到了哔的一声 – 瞧！–交易成功了！免触式银行卡实在是太方便了。有了它，你再也不需要刷卡、记住PIN码和用笔签字，而且也不需要费力地掏出钱包、寻找现金或者从口袋的深处摸索硬币。只需一扫–即可轻松完成支付。收银员同样也乐意使用免触支付方式：不仅加快了付款流程速度，同时还提高了收银员的顾客处理量，而这正是公认的所有零售过程的瓶颈。然而，其易用性也让人们不禁怀疑起自己卡内的资金是否也同样容易被盗走。犯罪分子是否会暗中用读卡器对你的口袋轻轻一扫，就将你存在卡内的所有资金偷个干净？为了查明真相，我研究了大量来自黑客会议的报告并和许多银行代表就这一问题进行探讨。他们的反馈无一例外都相当积极和正面，但并非表示毫无缺陷。范围免触式卡采用近场通信（一种基于无线射频识别的技术）方式运行。卡内集成有微型芯片和天线，使用13.56 MHz频率范围，可对POS机终端的请求进行回应。不同支付系统使用各自的标准，包括：维萨的payWave、万事达的PayPass和美国运通的ExpressPay等。但所有这些系统均采用了相同的方法及核心技术。 NFC的数据传输距离极短–不足一英寸。因此，你完全可以自己筑牢第一道安全防线。基本上来说，需要将读卡器和卡片凑得非常非常近才有可能扫描到，因此要想使用读卡器暗中扫卡的难度可谓相当之高。同时，商家也可以安装专门定制的读卡器，可使扫描的距离更长。例如，来自萨里大学的研究人员就展示了一种紧凑型扫描器，能在80厘米的距离内读取NFC数据。此类装置可向广泛运用于公共交通、商铺、机场和其它’人群聚集’场所的免触卡发送请求。在许多国家，NFC兼容卡可谓相当普及。因此在人流聚集的地方，许多人都可能会成为犯罪分子实施NFC攻击的受害人。最终，即使在没有定制扫描器或近距离接触的情况下，免触卡使用者也可能会遭受资金莫名被盗的损失。西班牙黑客Ricardo Rodrigues和Jose Villa发明了一种简便的’消除距离障碍’方法，并在Hack in the Box大会上进行了演示。图像来源: Practical Experiences on NFC Relay Attacks with Android 如今绝大多数的智能手机均配备有NFC组件，且手机通常都放在离钱包很近的地方–比方说，手提袋或口袋内。Rodrigues和Villa设计出一种安卓木马病毒概念，能将目标智能手机信号转到一种类似于NFC转调器的装置上。一旦受感染手机放在和免触卡很近的位置，就可能发出向网络攻击者执行交易的信号。骗子随后激活常规的POS机终端，然后将启用NFC的智能手机靠近终端。如此，在没有真正扫卡的情况下，类似于’桥’的一种连接在NFC和NFC终端之间建立。

卡巴斯基实验室产品与Windows 10兼容性

7月29日是Windows 10正式发布的日子。许许多多的Windows用户可能正打算将自己的微软操作系统升级至最新（最高）版本。如果你既想升级Windows系统，又想继续使用卡巴斯基实验室产品，那该如何操作呢？对于卡巴斯基实验室用户而言，最好的方法是：在安装Windows 10之前，下载所安装的卡巴斯基实验室产品的最新版本，可完全支持最新的微软操作系统。就算你已使用了卡巴斯基实验室2015产品，也建议从卡巴斯基实验室官网下载最新的发布版，目的是确保你的安全解决方案与Windows 10完全兼容。如果出于某些原因，你更习惯于使用卡巴斯基实验室产品的某个早期版本，那你要耐心等待针对您软件特定版本的补丁发布。2014产品版本的补丁将于7月30日发布。而针对PURE 3.0、2013以及2015早期版本的补丁则将于9月2日正式推出。 2016版本的卡巴斯基实验室产品则是另一个选择，我们之所以强烈推荐是因为其在设计之初即考虑了Windows 10兼容性问题。在一些地区，新产品将于今日发布；而另一些地区则要晚几天推出。

驾车危险：行驶中的Jeep难逃黑客入侵

啊！他们竟然又’干了一票’：在分别成功地黑客入侵丰田普锐斯和福特翼虎后，安全研究人员Charlie Miller和Chris Valasek近期又一次成功入侵了Jeep大切诺基。这一次的结果更加令人震惊不已，因为这两名安全专家竟然找了一种能够远程控制汽车的方法。而作为本次试验的”自愿受害人”在遭受漏洞利用攻击时，则正驾车以70 mph的速度行驶在圣路易斯市的郊区。 “当我亲眼目睹这两名’黑客’竟然能远程控制车上的空调、广播和雨刷时，我真为我自己在如此大压力下展现出的勇气而佩服不已。当时他们还切断了我的变速器。” 来自Wired的新闻报道透露了’受害司机’对于所驾驶超级智能联网汽车遭受强制行为的反应。记者Andy Greenberg当时就坐在试验汽车的后座，亲眼目睹了整个过程，他说道：研究人员完全掌控了汽车的刹车和油门，以及包括广播、喇叭和雨刷在内的其它次要的汽车组件。要做到这些，Chris和Charlie必须通过蜂窝网络黑客入侵车载娱乐系统。幸运的是，目前的形式并未完全糟糕透顶。无论是操作系统开发商还是汽车制造商都不遗余力地采取重要且十分有必要的网络安全防范措施–他们应该有能力做到！正如Chris Valasek说到的：”当我看到我们可以通过互联网完全控制汽车的时候，我简直吓坏了，发自内心地感到恐惧。这绝对不是开玩笑，这可是一辆在乡间高速公路上高速行驶的汽车。就在那一刻，对汽车黑客入侵最终还是成为了现实。” 不幸的是，目前所有这些重要的安全防范措施依然还远远不够。像微软和苹果这样的软件巨头常常需要花费数年的时间开发有效的方法来为其产品漏洞编写安全补丁。而留给汽车产业的时间则不多了。除此之外，这已经不是汽车第一次遭受黑客入侵，尽管安全问题重重，但似乎没有人迫切想要解决这些存在已久的问题。其他品牌的汽车可能存在同样的安全漏洞。对于包括福特和通用在内的其它汽车品牌，Miller 和Valasek还未有过尝试。更加可怕的是，Miller表示”一名技术娴熟的黑客就能控制一组未联网主机并用来执行更多扫描—使用任何一组被劫持的计算机—通过Sprint网络让病毒从一个仪表盘感染到另一个。最终演变为由成千上万辆汽车组成的一个无线网络控制汽车僵尸网络。”以此为基础，即可发动恐怖袭击或由一国政府发动网络攻击。 “对于卡巴斯基实验室而言，我们始终认为要想避免此类事件发生，汽车制造商在为汽车制造智能结构体系时，应时刻牢记两个基本原则：隔离和受控通讯。”卡巴斯基实验室GReAT 高级安全研究人员Sergey Lozhkin表示。 “隔离意味着两个分离的系统不会相互影响。例如，在遭受本文开头的黑客攻击时，即使娱乐系统遭受入侵也不会影响到控制系统。受控通讯则意味着汽车在传输和接收信息时必须完全采用密码验证措施。就上文提到的Jeep试验结果而言，不是认证算法过于薄弱/存在漏洞，就是并未正确实施密码验证。” 所有安全问题在行业层面未被解决之前，我们都应该考虑是否改骑自行车和骑马…或驾驶老爷车。至少，这些交通工具都不会遭受黑客入侵。黑帽大会即将在2015年8月举行，届时安全专家们将就他们的研究发现做陈述报告，我们也对此翘首以盼。

偷情网站无意惹恼网络黑客

最近Ashley Madison约会网站的用户们因害怕自己的真实身份遭曝光而胆战心惊，事情的起因是该网站的3700万名用户的个人档案遭窃。黑客威胁如果该网站的拥有人不关闭其中两家交友网站的话，则会将Ashley Madison网站的整个数据库发布到互联网上。黑客要求永久关闭的两家网站分别是：流行的约会网站’Ashley Madison’，该网站打出极具诱惑的口号”人生短暂，偷情无限”；以及让成功男士寻找年轻美女的’Established Men’网站—均隶属于Avid Life Media公司（ALM）。黑客还声明此次攻击完全是为了惩罚ALM的不正当行为：据报道ALM要求其客户支付19美元以完全清除个人资料，但实际上却并未如承诺的那样真正删除客户的数据。这群网络攻击者还说道：“用户通常都用信用卡支付；他们的详细支付信息并未如网站承诺的那样被完全清除，其中即包括了用户的真实姓名和地址，而这绝对是用户最想要清除的重要个人隐私。” 为了伸张正义，黑客要求ALM以任何形式永久性地关闭上述两家网站。否则的话，客户的真实姓名和地址连同有关他们’性幻想’的信息都将公布在互联网上。但黑客似乎并未打算将ALM’赶尽杀绝’：允许该家公司的其他网站（其余隶属于ALM的网站只剩下专门让女性寻找”小鲜肉”的Cougar Life）继续经营下去。而ALM则回应将起诉这些实施犯罪行为的网络攻击者。据KrebsOnSecurity报道，遭窃数据的样例已被发布在互联网上，从而证实了此次黑客入侵事件，但ALM则在事件发生后立即设法清除已遭公开的数据。该公司承认了网站遭受黑客攻击，并声明已聘请’业内权威专家和其他安全专业人员确定本次黑客事件的源头、性质以及受波及的范围’。本次黑客事件很可能有公司内部员工参与和访问了公司的网络—可能是以前的雇员或承包商。这一观点的间接证据可以从攻击者发给ALM安全主管要求道歉的信中找到：”你需要向Mark Steele道歉。你们即便使出全身解数也无法阻止本次攻击事件的发生。” ALM巨额收入的来源将因此而遭受影响：据这些黑客称，在2014年，单单个人资料清除这一项服务就为公司带来近170万美元的进账。整个Ashley Madison网站的估值更是达到约10亿美元。就目前看来，ALM似乎并未打算按照黑客的要求关闭网站。而另一方面，3700万’偷情者’个人隐私的去向依然不明。如果将道德问题和可能产生的家庭问题放在一边，这些个人数据完全有可能被其他网络犯罪分子所利用，从而实施网络钓鱼或银行诈骗活动。对于此次事件的首要责任人我们仍然无法明确界定：但ALM已向其用户承诺提高安全防范级别。电子前线基金会最近发布的一份报告显示，约会网站在安全/隐私方面存在极高的危险性。就在几个月前，另一家约会网站也遭受了黑客攻击，超过350万用户的隐私信息（包括：性取向、恋物癖和个人秘密）全部遭到曝光。每当你用信用卡购买约会和交友产品和服务时，你同时也向此类网站提供商共享了你的敏感信息—而网络黑客无时不刻地想要黑客入侵这些网站的系统。一旦数据在互联网公开，你根本没有任何应对的措施。因此始终将基本安全铭记于心至关重要： –使用加密的通讯渠道； –如果你不想让你的数据被不正当的服务提供商记录和使用的话，还是尽量使用现金支付； –在各家约会网站上使用不同的电邮账号和外号。 ALM宣称很快就能查明该为此次攻击事件负责的黑客。但不幸的是，目前尚不清楚ALM是否及时完成了调查取证工作，因此是否最终挽救了数百万用户的隐私目前也不得而知。