地下黑市以2800美元出售4.27亿MySpace账户密码
上周,付费黑客数据检索引擎LeakedSource透露4.27亿条MySpace用户凭证被泄露,昨天,母公司时代(Time Inc)承认微博服务遭到数据泄露,并重复了一些我们已经知晓的细节。
很多人可能已经记不起Myspace了,但是10 年前,在Facebook还没有雄霸市场之前,Myspace曾是世界最大的风靡一时的社交媒体网站。但是如今这个社交媒体只是空有其名,有很严重的安全问题。该网址最近曾吹嘘注册用户已跨过 10 亿门槛,然而据去年的报告,每月只有 5000 万个独立访客。
在简短的声明中,公司写道:
数据被出售在阵亡将士纪念日这周的周末,我们意识到被偷窃的MySpace用户登录数据在网络黑客论坛上出售。这些被偷窃的数据涉及2013年6月11日之前在旧MySpace平台上创建的部分数据。我们坚信本次数据泄露是由俄罗斯机网络黑客组织“Peace”发起的。和近期发生在LinkedIn和Tumblr上的网络攻击存在相同的攻击行为。目前我们正在积极的进行调查,一旦发现任何新的线索我们将会及时进行公布。
与LinkedIn和Tumblr数据泄露事件相同,这次事件的“幕后黑手”名为 Peace, 从 MySpace 中盗走数据的时间不明,但黑客和一名来自 LeakedSource(付费黑客数据检索引擎)的操作员说法一致,且后者称有证据表明,数据泄露发生的原因是过去曾有一个未被报告的漏洞。
上周五下午,自称为 Peace 的黑客 在网上的黑市 The Real Deal 上欲出售从 Myspace 上盗取的密码以及账户等数据,出价 6 比特币(大约为 2800 美元)。
而LeakedSource 称他们是通过即时通讯服务器Jabber上的匿名用户Tessa88@exploit.im获取的资料,资料包含 427,484,128名用户密码,但是并非所有数据都能和账号匹配,一些账号还设置有第二密码,一些账号只有第二密码而没有主密码,还有部分数据库条目只有涵盖密码。
除此之外,LeakedSource还提到, 这些泄露的数据和领英一样,也是以“SHA-1”的哈希加密的方式存储的, 性能较弱,易于攻破,雪上加霜的是,该公司在散列过程中没有对密码进行“salt”,即在为使密码难以攻破而进行散列之前,没有在密码末端添加一串随机字节。
因此LeakedSource分析师能够破解大部分内容,他们透露说希望在月底破解 98% 到 99% 的密码,但是该人员拒绝透漏已经破解多少。
目前,Peace 和 LeakedSource 均未提供被盗数据的样例。为验证这些泄露的数据是否正确, Motherboard 网站将曾在 MySpace 注册过的三位员工以及两个公司员工的朋友的邮箱地址提交给 LeakedSource ,结果 LeakedSource 正确地回复了对应邮箱的密码。
根据数据显示最常使用的MySpace账号密码是:
最常使用的MySpace邮件域名是:
如果上述数据全部正确且所有数据真的都来自 MySpace,这将会是有史以来规模最大的一次数据失窃,并会在数据泄露意识网站Have I Been Pwned 上名列榜首。
目前,对用户来说,即使弃用账户也可能会存在风险,因为账户中仍有可能包含个人数据,并会在其他的网络攻击中加以利用。重要的是,如果你有 MySpace 账号,要进行密码修改。此外,如果你在其他更加敏感的网络服务中也使用同样的密码,也要立即更改。
新浪、人人、天涯被黑的历史
数据泄露威胁日益严峻,不仅是国外,国内的许多社交网站如新浪微博、天涯、人人网等也曾遭黑客侵入。
2011年底,天涯社区4000万用户资料泄露,账号密码邮箱明文保存,资料在网上传播,初步验证为有效数据。
网传的一份天涯用户密码文件,经验证有效
同样是2011年底,人人网500W数据泄露,数据库被挂在网上肆意下载。
同样难以幸免的还有新浪微博 ,共有476万账户密码被公开下载。
新浪微博泄露的部分用户信息
大量泄露的用户信息,不仅涉及个人隐私,还被用于传播恶意病毒软件,网站、个人用户以及企业都有可能成为这类病毒软件的受害者,如何保障用户数据安全将成为影响企业未来竞争力至关重要的因素之一。
* 原文链接: thehackernews 、 zdnet 、米雪儿编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)