据知名网络安全新闻网站 KrebsOnSecurity 报道，有人正在网络犯罪论坛上出售在北美颇受欢迎的移动停车应用 ParkMobile 的 2100 万客户的账户信息。被盗数据包括客户的电子邮件地址、出生日期、电话号码、车牌号、哈希密码和邮寄地址。

　　KrebsOnSecurity 首次从纽约市tgcode的威胁情报公司 Gemini Advisory 那里听说了这一漏洞，该公司密切关注网络犯罪论坛。Gemini 在一个俄语犯罪论坛上分享了一个新的销售线索，在附带的被盗数据截图中包含了一些用户的 ParkMobile 账户信息、电子邮件地址和电话号码，以及车辆的车牌号。

　　当被问及销售线索时，总部位于亚特兰大的 ParkMobile 表示，该公司在 3 月 26 日发布了一则通知，内容是 “发生了一起网络安全事件，与我们使用的一款第三方软件的漏洞有关”。

　　“作为回应，我们立即在一家领先的网络安全公司的协助下展开调查，以解决这一事件，”通知中写道。“出于谨慎起见，我们也已经通知了相关执法部门。调查还在进行中，我们目前能提供的细节有限。”

　　声明还指出：“我们的调查表明，我们加密的敏感数据或支付卡信息均未受影响。同时，自从了解到该事件以来，我们还采取了其他预防措施，包括消除第三方漏洞，维护我们的安全性以及继续监视我们的系统。”

　　当被要求澄清攻击者确实获取了什么信息时，ParkMobile 证实其中包括基本的账户信息–车牌号，如果提供，还包括电子邮件地址或电话号码等。

　　”在一小部分情况下，可能会有邮寄地址，”发言人 Jeff Perkins 说。

　　ParkMobile 并不存储用户密码，而是存储了一种相当强大的单向密码哈希算法的输出，这种算法被称为 bcrypt，它比 MD5 等常见的替代方案更耗费资源，破解成本更高。从 ParkMobile 窃取并出售的数据库包括每个用户的 bcrypt 哈希值。

　　”你说的没错，bcrypt 哈希值和‘加盐’密码都被获得了，”当被问及数据库销售线程中的截图时，Perkins 说。

　　”注意，我们的系统中并没有保留加盐值，”他说。”此外，被泄露的数据不包括停车历史、位置历史或任何其他敏感信息。我们不会向用户收集社会安全号码或驾驶执照号码。”

　　ParkMobile 表示，它正在最后确定其支持网站的更新，以确认其调查的结论。但不知道其有多少用户甚至知道这次安全事件。3 月 26 日的安全通知似乎没有链接到 ParkMobile 网站的其他部分，而且该公司最近的新闻稿列表中tgcode也没有它。

　　同样令人好奇的是，ParkMobile 并没有要求或强迫其用户更改密码作为预防措施。安全研究人员使用 ParkMobile 应用来重置密码，但应用中没有任何信息提示这是一件及时的事情。

　　这次数据泄露事件对 ParkMobile 来说是在一个关键的时刻发生的。3 月 9 日，欧洲停车集团 EasyPark 宣布计划收购该公司，该公司在北美 450 多个城市运营。