上周黑客在暗網相繼洩漏了 dropbox 和 last.fm 兩家公司的上億條賬号密碼,暴露了網際網路公司在保護使用者資訊上的嚴重缺陷。但現在這場“洩密事件”仍沒有停止的迹象,最新的消息是黑客團隊洩漏了色情網站 brazzers 近 80 萬條使用者賬号密碼。
這個被黑客公布在暗網上的資料庫包含條 928072 個賬号的資訊,其中包括 790724 個不同的電子郵箱位址以及許多使用者名和明文密碼。
在接受the next web采訪時,brazzers的公關經理matt stevens說:“這個資料庫最早是于 2012 在我們的 brazzers 論壇上被洩漏的,但這個論壇由一個第三方機構管理。”
stevens說這個“第三方機構”使用的 vbulletin 管理軟體上存在的漏洞是資料庫洩漏的原因。而為了讓使用者使用友善, brazzers 網站和 brazzers 論壇之間的賬号是共享的。
上周一,dropbox披露該公司于 2012 年洩漏的 6800 萬條使用者的賬号密碼已經流出至暗網中,當時的資料洩漏源于dropbox的一次“安全事故”。
2012 年 dropbox 官方部落格對此事件的解釋是:“丢失的密碼被用于通路 dropbox 的員工賬号,其中包括帶使用者電子郵件位址的項目檔案。我們認為,這一非法通路導緻了垃圾郵件的出現。我們對此感到抱歉,并采取了額外的控制措施,確定這種事故不會再次發生。”
也就是說 dropbox 一直認為被洩漏的隻有使用者的電子郵箱位址,是以他們才會擔心使用者受到垃圾郵件的侵染。但實際情況更加可怕,那就是這 6800 萬使用者的郵箱位址和密碼都被洩漏了。
但令人欣慰的是,這些被洩漏的密碼是已經被加密過的暗文密碼,而不是使用者直接輸入的明文密碼。在 2012 年資訊被洩漏之前,dropbox 曾将自己的加密算法從 sha-1 更新為 bcrypt,此外這些密碼還采用了随機資料串去強化加密的 salt 技術。也就是說即使黑客拿到了這些密碼,他們也隻能看到一串沒有意義的字元。
而在上周五,黑客又将 2012 年從音樂服務網站 last.fm 上竊取的 4357 萬條使用者密碼公布在了 leakedsource 網站上。這個資料庫是在 2012 年 5 月 22 日被洩漏的,當時 last.fm 要求使用者重置自己的密碼。
leakedsource 表示,他們花了 2 小時便破解了這個資料庫裡 96% 的密碼,這是因為 last.fm 使用者的密碼并沒有用 salt 技術加強加密。
在 2012 年 6 月 7 日,也就是密碼被洩漏之後,last.fm 的研發人員 russ garrett 就曾在 twitter上承認該公司使用者密碼使用的是 md5 加密方法,但這種方法早在 2012 年之前就被認定是一種弱加密方法,目前已經有很多網站提供了 md5 加密的一鍵破解工具。
根據 leakedsource 公布的資訊,這批被洩漏的資料包括使用者的電子郵箱位址、使用者名、密碼、注冊日期和一些 last.fm 内部的服務資料。
在這些被洩漏的密碼中,諸如 123456、password、qwerty、abc123、music 這樣的低級别密碼也占據了相當大一部分,可見使用者對資訊安全有多麼不重視。
今年 5 月,職業社交網站 linkedin也曾許宣布有 1 億多條使用者的電子郵箱和密碼被洩漏至暗網,這些資料同樣來自 2012 年的一場黑客攻擊。
2012 年 6 月,一個名叫“dwdm”的黑客在一家俄羅斯論壇上公布了 650 萬條 linkedin 的使用者加密密碼,随後 linkedin 證明有 1 億使用者的賬号資訊被洩漏。
直到最近,一個名為“peace”的黑客在暗網上以 5 個比特币(約 2200 美元)的價格公開出售這個資料庫。經驗證,這個資料庫裡包含了 1.17 億linkedin 使用者的賬号密碼,而很多使用者目前仍在使用這些密碼。
有趣的是,2012 年 dropbox 的使用者密碼被洩漏的原因就是黑客利用了該公司開發人員的 linkedin 賬号資訊登入了 dropbox 的背景管理系統。
本文轉自d1net(轉載)