一个少女社交聚会的网站因为存在漏洞，导致550万用户的明文密码被泄露了。

Arstechnica通知i-Dressup官方已经有黑客下载了该网站多达220万的用户数据，但i-Dressup并未给出回应。该黑客表示，他花了约三个星期时间得到并下载了这个多于550万条项目的数据库，期间没有任何安全策略对其进行拦截。他还表示，他是通过SQL漏洞获取到的这些邮件地址和密码。

该黑客向Arstechnica和Have I BeenPwned提供了220万个样例数据，通过随机选择邮件地址到i-Dressup网站进行密码找回操作，Arstechnica和Have I Been Pwned的主要负责人Troy Hunt发现，这些邮箱都已经被注册过。之后Arstechnica在i-Dressup网站上通过联系我们页面，私底下通知了官方，但五六天后，仍没有人给予回复，且漏洞仍未被修复。

数据泄露的道路还很漫长

这只是最近大规模数据泄露的冰山一角，在两周前，Arstechnica报道过ClixSense数据库泄露，包括明文密码、用户名，邮件地址和其他详细的个人信息，总共约220万条数据。泄露该数据的黑客声称，该数据共有660万条，并公开出售未公布的440万条数据。

I-Dressup自诩是一个安全的网站，声称可以保护用户的数据隐私，尤其是那些13岁以下的用户。但那些保证不仅没有兑现，甚至他们对待安全的态度都有些随意。更糟糕的是在得知因为SQL注入漏洞而导致用户数据被窃取的报告后，他们还不对漏洞进行修复！而且最让人感到震惊的是，泄露的数据库包含了明文密码。行业标准中的规定是网站需要对用户的密码进行哈希，而不是明文，这会使攻击者花大量的时间进行密码破解甚至根本破解不出来。

任何一个有i-Dressup账户的人都应考虑注销掉它，同时用户也应警惕诈骗邮件，更改使用了相同密码的其他网站账户的密码。