黑客欲將盜取的4.27億個MySpace密碼以2800美元賣出

黑客欲將盜取的4.27億個MySpace密碼以2800美元賣出

  網絡安全領域有一個被屢屢提及的格言:公司分兩種,一種是已經被黑客攻擊的,一種,是還不知道已被攻擊的。

  社交媒體巨頭 MySpace,明顯屬于第二種。上周還在售賣超過 1.64 億 Linkedln 用戶數據的同一個黑客,本周繼而宣稱已拿到 MySpace 用戶的 3.6 億封郵件和密碼,如果屬實,這將是史上最大規模的密碼泄露事件。而且,這份數據似乎已在其他黑客中流傳開來。

  該黑客名為 Peace, 從 MySpace 中盜走數據的時間不明,但黑客自己和一個 LeakedSource(被入侵數據的有償搜索引擎)的操作員說法一致,且后者稱有證據表明,數據泄露發生的原因是過去曾有一個未被報告的漏洞

  Peace 和 LeakedSource 都未提供被盜數據的樣例。為驗證這些泄露的數據是否正確, Motherboard 網站將曾在 MySpace 注冊過的三位員工以及兩個公司員工的朋友的郵箱地址提交給 LeakedSource ,結果 LeakedSource 正確地回復了對應郵箱的密碼。

  LeakedSource 于周五在一篇博文中宣布了泄露事件。該數據集有 427,484,128 個密碼,但只有 360,213,024 億封郵件,該文還稱,數據集中的每項記錄都包含“一個郵件地址,一個用戶名,一個密碼,某些情況下還包括一個備用密碼”。

  “數據一旦已被進行若干次交易,最終就會流傳到某個不值得信任的人手里,然后就會瘋狂地泛濫不止。”

  “在這 3.6 億郵件中,有 111,341,258 個賬戶綁定了用戶名,有 68,493,651 個賬戶有備用密碼(其中有些沒有設置第一密碼)。”LeakedSource 寫道。LeakedSource 的用戶可每天支付 2 美元,也可每年支付 265 美元,就能登錄其網站并瀏覽該公司聲稱的超過 16 億被攻擊或被泄露的數據記錄。

  文中表示,數據由某個化名為 Tessa88 的人提供,但在與 Motherboard 的采訪中。該網站的一個運營人員說他們不清楚泄露數據的真實來源,比如說誰是第一個盜取 MySpace 的人,也不知道誰在“這段時間”一直持有該數據,以及該公司被攻擊的時間。但這些數據最后注定會被泄露,他們表示。

  “這是信息的本質,‘三個人無法保住一個秘密,除非是其中兩個人死了。’(出自本杰明·富蘭克明)。”該運營人員在一次在線聊天中告訴我說:“數據一旦已被進行若干次交易,最終就會流傳到某個不值得信任的人手里,然后就會瘋狂地泛濫不止。”

  MySpace 收到多個詢問請求,但都未表態。

  LeakedSource 還寫道,密碼最初是由 SHA1 算法進行散列化,該算法被認為性能較弱,易于攻破,雪上加霜的是,該公司在散列過程中沒有對密碼進行“salt”,即在為使密碼難以攻破而進行散列之前,沒有在密碼末端添加一串隨機字節。

  因此 LeakedSource 的運營人員才告訴我,他們希望在月底破解 98% 到 99% 的密碼,盡管該人員拒絕透漏已經破解多少。

  10 年前的 MySpace 曾是互聯網上最大的網站之一,而如今這個社交媒體只是空有其名,有很嚴重的安全問題。該網址最近曾吹噓注冊用戶已跨過 10 億門檻,然而據去年的報告,每月只有 5000 萬個獨立訪客。

  如果全部數據正確,這將會是有史以來規模最大的一次數據失竊。而且,如果全部數據正確,這將會是有史以來規模最大的一次數據失竊。更重要的是,這表明某些時候 MySpace 已經被攻擊過,而且,該公司從未發現過此事,也未曾公開或在內部披露過這些信息。如果所有數據真的都來自 MySpace,這將是會曾出現過的最大規模的郵件和密碼泄露事件,并會在數據泄露意識網站 Have I Been Pwned 上名列榜首。

  因此對用戶來說,即使棄用賬戶或讓賬戶休眠也會存在風險,因為賬戶中仍有可能包含個人數據,并會在其他的網絡攻擊中加以利用。重要的是,如果你有 MySpace 賬號,要進行密碼修改。但最最重要的是,如果你在其他更加敏感的網絡服務中也使用同樣的密碼,也要立即更改。而且可以考慮使用 LastPass 或 1Password 等密碼管理器,讓你可以在每個不同的網站使用專有且強大的密碼。

  東部時間下午 5 點 1 分更新:周五下午,自稱為 Peace 的黑客在網上的黑市 The Real Deal 上欲出售從 Myspace 上盜取的密碼以及賬戶等數據,出價 6 比特幣(大約為 2800 美元)。

  “在某個傻瓜散布這些信息之前,我要把它們賣出去。”Peace 在一次網絡聊天中告訴我。

本站部分文章源于互聯網,本著傳播知識、有益學習和研究的目的進行的轉載,為網友免費提供。如有著作權人或出版方提出異議,本站將立即刪除。如果您對文章轉載有任何疑問請告之我們,以便我們及時糾正。

PS:推薦一個微信公眾號: askHarries 或者qq群:474807195,里面會分享一些資深架構師錄制的視頻錄像:有Spring,MyBatis,Netty源碼分析,高并發、高性能、分布式、微服務架構的原理,JVM性能優化這些成為架構師必備的知識體系。還能領取免費的學習資源,目前受益良多

轉載請注明原文出處:Harries Blog? » 黑客欲將盜取的4.27億個MySpace密碼以2800美元賣出

贊 (0)
分享到:更多 ()

評論 0

  • 昵稱 (必填)
  • 郵箱 (必填)
  • 網址
手机彩票计划软件超稳