據知名網絡安全新聞網站KrebsOnSecurity報導，有人正在網絡犯罪論壇上出售在北美頗受歡迎的移動停車應用ParkMobile的2100萬客戶的賬戶信息。被盜數據包括客戶的電子郵件地址、出生日期、電話號碼、車牌號、哈希密碼和郵寄地址。

KrebsOnSecurity首次從紐約市的威脅情報公司Gemini Advisory那裡聽說了這一漏洞，該公司密切關注網絡犯罪論壇。Gemini在一個俄語犯罪論壇上分享了一個新的銷售線索，在附帶的被盜數據截圖中包含了一些用戶的ParkMobile賬戶信息、電子郵件地址和電話號碼，以及車輛的車牌號。

當被問及銷售線索時，總部位於亞特蘭大的ParkMobile表示，該公司在3月26日發布了一則通知，內容是”發生了一起網絡安全事件，與我們使用的一款第三方軟件的漏洞有關”。

“作為回應，我們立即在一家領先的網絡安全公司的協助下展開調查，以解決這一事件，”通知中寫道。“出於謹慎起見，我們也已經通知了相關執法部門。調查還在進行中，我們目前能提供的細節有限。”

聲明還指出：“我們的調查表明，我們加密的敏感數據或支付卡信息均未受影響。同時，自從了解到該事件以來，我們還採取了其他預防措施，包括消除第三方漏洞，維護我們的安全性以及繼續監視我們的系統。”

當被要求澄清攻擊者確實獲取了什麼信息時，ParkMobile證實其中包括基本的賬戶信息–車牌號，如果提供，還包括電子郵件地址或電話號碼等。

“在一小部分情況下，可能會有郵寄地址，”發言人Jeff Perkins說。

ParkMobile並不存儲用戶密碼，而是存儲了一種相當強大的單向密碼哈希算法的輸出，這種算法被稱為bcrypt，它比MD5等常見的替代方案更耗費資源，破解成本更高。從ParkMobile竊取並出售的數據庫包括每個用戶的bcrypt哈希值。

“你說的沒錯，bcrypt哈希值和’加鹽’密碼都被獲得了，”當被問及數據庫銷售線程中的截圖時，Perkins說。

“注意，我們的系統中並沒有保留加鹽值，”他說。”此外，被洩露的數據不包括停車歷史、位置歷史或任何其他敏感信息。我們不會向用戶收集社會安全號碼或駕駛執照號碼。”

ParkMobile表示，它正在最後確定其支持網站的更新，以確認其調查的結論。但不知道其有多少用戶甚至知道這次安全事件。3月26日的安全通知似乎沒有鏈接到ParkMobile網站的其他部分，而且該公司最近的新聞稿列表中也沒有它。

同樣令人好奇的是，ParkMobile並沒有要求或強迫其用戶更改密碼作為預防措施。安全研究人員使用ParkMobile應用來重置密碼，但應用中沒有任何信息提示這是一件及時的事情。

這次數據洩露事件對ParkMobile來說是在一個關鍵的時刻發生的。3月9日，歐洲停車集團EasyPark宣布計劃收購該公司，該公司在北美450多個城市運營。