官方公众号企业安全新浪微博

FreeBuf+小程序把安全装进口袋

• 资讯

人工智能图像编辑工具 Cutout.Pro 近期发生一起严重数据泄露事件，约 2000 万会员用户的电子邮件地址、散列和加盐密码、IP 地址以及姓名等敏感信息被放在数据泄露论坛上出售。

Cutout.Pro 是一个人工智能驱动的照片和视频编辑平台，可用于图像增强、背景移除、漫反射、着色、旧照片修复和新图像内容生成。

化名为 "KryptonZambie "的威胁犯罪分子在 BreachForums 黑客论坛上分享了一个链接，该链接指向一个 CSV 文件（从 Cutout 窃取的 5.93 GB 数据），CSV 文件中有一个由 4140 万条记录组成的数据库转储，其中 2000 万条记录由唯一的电子邮件地址组成。

威胁犯罪分子嚣张的表示，在公布被盗数据时，Cutout 可能还没有意识到自身网络系统已经被入侵了。因此，目前其仍然可以轻松访问其内部系统。

黑客在黑客论坛上发布数据（来源：Bleeping Computer）

泄露的 Cutout 用户数据包括以下信息：

用户 ID 和个人照片

API 访问密钥

账户创建日期

电子邮件地址

用户 IP 地址

手机号码

用户类型和账户状态

据悉，数据泄露监控和警报服务 Have I Been Pwned (HIBP) 已经将 Cutout 用户数据泄露事件添加到其目录中，并确认泄露的数据集包括 19972829 Cutout 用户的敏感信息。威胁犯罪分子的泄密行为将使被盗数据在更大范围内流通，无疑会对 Cutout 造成严重影响。

目前，虽然 Cutout.Pro 方面没有通过官方声明核实此次数据泄露事件，但 HIBP 创始人 Troy Hunt 指出，他已经独立核实了多个与泄露邮件地址匹配的邮件，确认密码重置请求可以通过。此外，多家媒体也已经证实，数据泄露中列出的电子邮件与 Cutout.Pro 的合法用户完全匹配。

Cutout 用户数据泄露发生后，包括 Bleeping Computer 在内的多家媒体都向 Cutout 公司发送了电子邮件，以期获得此事件的更多信息，但都没有收到回复。

最后，网络安全专家强调，Cutout.Pro 新老用户应该立即在该服务和其它可能使用相同凭证的在线平台上重置密码，并时刻警惕有针对性的网络钓鱼诈骗。

参考文章：

https://www.bleepingcomputer.com/news/security/20-million-cutoutpro-user-records-leaked-on-data-breach-forum/