漫画阅读平台 Mangatoon 遭遇数据泄露，黑客从不安全的 Elasticsearch 数据库中窃取了属于 2300 万用户帐户的信息。

Mangatoon 也是一款非常受欢迎的 iOS 和 Android 应用，被数百万用户用来阅读在线漫画漫画。

本周，数据泄露通知服务 Have I Been Pwned (HIBP) 在其平台上增加了 2300 万个 Mangatoon 帐户。

“Mangatoon 在 5 月份有 2300 万个账户被泄露。泄露事件暴露了姓名、电子邮件地址、性别、社交媒体账户身份、来自社交登录的身份验证令牌和加盐的 MD5 密码哈希，” HIBP 账户在推特上写道。

Mangatoon 数据库的添加是在 HIBP 的所有者 Troy Hunt 试图就数据泄露事件与该公司联系但没有成功之后添加的。

Lot's of chirping crickets at @MangatoonEN, both on Twitter and via email. Any other ideas? At least one other person has been trying to reach them for much longer than me too.

— Troy Hunt (@troyhunt) July 6, 2022

Mangatoon 用户现在可以在 HIBP 上搜索他们的电子邮件地址，并检查他们的帐户是否属于违规行为的一部分。

BleepingComputer 已向 Mangatoon 发送了多封有关数据泄露的电子邮件，但尚未收到回复。

从 Elasticsearch 数据库中窃取

数据泄露是由一位名叫“pompompurin”的知名黑客实施的，他说他们从使用弱凭据的 Elasticsearch 服务器上窃取了数据库。

“是 ES，他们上面有凭证，但只是‘密码’，他们在我通过电子邮件告诉他们后更改了凭证，但他们从未通知客户，也从未回复，”pompompurin 告诉 BleepingComputer。

pompompurin 与 BleepingComputer 共享数据库样本，我们确认这些样本是 Mangatoon 平台上的有效账户。

当被问及他们是否会公开发布或出售该数据库时，他们说他们可能会在某个时候泄露它。

pompompurin 还参与了其他引人注目的违规行为，包括通过 FBI 的执法企业门户 (LEEP) 发送虚假的网络攻击电子邮件以及 从 Robinhood 窃取客户数据。

在 RaidForums 黑客论坛 被执法部门查封后，pompompurin 推出了一个名为 Breached 的类似论坛。