網絡安全領域有一個被屢屢提及的格言:公司分兩種,一種是已經被黑客攻擊的,一種,是還不知道已被攻擊的。
社交媒體巨頭 MySpace,明顯屬于第二種。上周還在售賣超過1.64億Linkedln用戶數據的同一個黑客,本周繼而宣稱已拿到MySpace用戶的3.6億封郵件和密碼,如果屬實,這將是史上最大規模的密碼泄露事件。而且,這份數據似乎已在其他黑客中流傳開來。
該黑客名為 Peace, 從MySpace中盜走數據的時間不明,但黑客自己和一個 LeakedSource(被入侵數據的有償搜索引擎)的操作員說法一致,且后者稱有證據表明,數據泄露發生的原因是過去曾有一個未被報告的漏洞。
Peace 和 LeakedSource 都未提供被盜數據的樣例。為驗證這些泄露的數據是否正確, Motherboard網站將曾在MySpace注冊過的三位員工以及兩個公司員工的朋友的郵箱地址提交給LeakedSource ,結果 LeakedSource 正確地回復了對應郵箱的密碼。
LeakedSource 于周五在一篇博文中宣布了泄露事件。該數據集有427,484,128 個密碼,但只有360,213,024 億封郵件,該文還稱,數據集中的每項記錄都包含“一個郵件地址,一個用戶名,一個密碼,某些情況下還包括一個備用密碼”。
“數據一旦已被進行若干次交易,最終就會流傳到某個不值得信任的人手里,然后就會瘋狂地泛濫不止。”
“在這3.6億郵件中,有111,341,258個賬戶綁定了用戶名,有68,493,651個賬戶有備用密碼(其中有些沒有設置第一密碼)。”LeakedSource 寫道。LeakedSource 的用戶可每天支付2美元,也可每年支付265美元,就能登錄其網站并瀏覽該公司聲稱的超過16億被攻擊或被泄露的數據記錄。
文中表示,數據由某個化名為Tessa88的人提供,但在與 Motherboard的采訪中。該網站的一個運營人員說他們不清楚泄露數據的真實來源,比如說誰是第一個盜取MySpace的人,也不知道誰在“這段時間”一直持有該數據,以及該公司被攻擊的時間。但這些數據最后注定會被泄露,他們表示。
“這是信息的本質,‘三個人無法保住一個秘密,除非是其中兩個人死了。’(出自本杰明·富蘭克明)。”該運營人員在一次在線聊天中告訴我說:“數據一旦已被進行若干次交易,最終就會流傳到某個不值得信任的人手里,然后就會瘋狂地泛濫不止。”
MySpace 收到多個詢問請求,但都未表態。
LeakedSource 還寫道,密碼最初是由 SHA1算法進行散列化,該算法被認為性能較弱,易于攻破,雪上加霜的是,該公司在散列過程中沒有對密碼進行“salt”,即在為使密碼難以攻破而進行散列之前,沒有在密碼末端添加一串隨機字節。
因此LeakedSource 的運營人員才告訴我,他們希望在月底破解98%到99%的密碼,盡管該人員拒絕透漏已經破解多少。
10年前的MySpace 曾是互聯網上最大的網站之一,而如今這個社交媒體只是空有其名,有很嚴重的安全問題。該網址最近曾吹噓注冊用戶已跨過10億門檻,然而據去年的報告,每月只有5000萬個獨立訪客。
如果全部數據正確,這將會是有史以來規模最大的一次數據失竊。而且,如果全部數據正確,這將會是有史以來規模最大的一次數據失竊。更重要的是,這表明某些時候MySpace已經被攻擊過,而且,該公司從未發現過此事,也未曾公開或在內部披露過這些信息。如果所有數據真的都來自MySpace,這將是會曾出現過的最大規模的郵件和密碼泄露事件,并會在數據泄露意識網站Have I Been Pwned上名列榜首。
因此對用戶來說,即使棄用賬戶或讓賬戶休眠也會存在風險,因為賬戶中仍有可能包含個人數據,并會在其他的網絡攻擊中加以利用。重要的是,如果你有MySpace賬號,要進行密碼修改。但最最重要的是,如果你在其他更加敏感的網絡服務中也使用同樣的密碼,也要立即更改。而且可以考慮使用LastPass 或 1Password等密碼管理器,讓你可以在每個不同的網站使用專有且強大的密碼。
東部時間下午5點1分更新:周五下午,自稱為Peace的黑客在網上的黑市The Real Deal上欲出售從Myspace上盜取的密碼以及賬戶等數據,出價6比特幣(大約為2800美元)。
“在某個傻瓜散布這些信息之前,我要把它們賣出去。”Peace在一次網絡聊天中告訴我。
京公網安備 11010502049343號