網(wǎng)絡(luò)安全領(lǐng)域有一個(gè)被屢屢提及的格言:公司分兩種,一種是已經(jīng)被黑客攻擊的,一種,是還不知道已被攻擊的。
社交媒體巨頭 MySpace,明顯屬于第二種。上周還在售賣超過1.64億Linkedln用戶數(shù)據(jù)的同一個(gè)黑客,本周繼而宣稱已拿到MySpace用戶的3.6億封郵件和密碼,如果屬實(shí),這將是史上最大規(guī)模的密碼泄露事件。而且,這份數(shù)據(jù)似乎已在其他黑客中流傳開來。
該黑客名為 Peace, 從MySpace中盜走數(shù)據(jù)的時(shí)間不明,但黑客自己和一個(gè) LeakedSource(被入侵?jǐn)?shù)據(jù)的有償搜索引擎)的操作員說法一致,且后者稱有證據(jù)表明,數(shù)據(jù)泄露發(fā)生的原因是過去曾有一個(gè)未被報(bào)告的漏洞。
Peace 和 LeakedSource 都未提供被盜數(shù)據(jù)的樣例。為驗(yàn)證這些泄露的數(shù)據(jù)是否正確, Motherboard網(wǎng)站將曾在MySpace注冊(cè)過的三位員工以及兩個(gè)公司員工的朋友的郵箱地址提交給LeakedSource ,結(jié)果 LeakedSource 正確地回復(fù)了對(duì)應(yīng)郵箱的密碼。
LeakedSource 于周五在一篇博文中宣布了泄露事件。該數(shù)據(jù)集有427,484,128 個(gè)密碼,但只有360,213,024 億封郵件,該文還稱,數(shù)據(jù)集中的每項(xiàng)記錄都包含“一個(gè)郵件地址,一個(gè)用戶名,一個(gè)密碼,某些情況下還包括一個(gè)備用密碼”。
“數(shù)據(jù)一旦已被進(jìn)行若干次交易,最終就會(huì)流傳到某個(gè)不值得信任的人手里,然后就會(huì)瘋狂地泛濫不止。”
“在這3.6億郵件中,有111,341,258個(gè)賬戶綁定了用戶名,有68,493,651個(gè)賬戶有備用密碼(其中有些沒有設(shè)置第一密碼)。”LeakedSource 寫道。LeakedSource 的用戶可每天支付2美元,也可每年支付265美元,就能登錄其網(wǎng)站并瀏覽該公司聲稱的超過16億被攻擊或被泄露的數(shù)據(jù)記錄。
文中表示,數(shù)據(jù)由某個(gè)化名為Tessa88的人提供,但在與 Motherboard的采訪中。該網(wǎng)站的一個(gè)運(yùn)營人員說他們不清楚泄露數(shù)據(jù)的真實(shí)來源,比如說誰是第一個(gè)盜取MySpace的人,也不知道誰在“這段時(shí)間”一直持有該數(shù)據(jù),以及該公司被攻擊的時(shí)間。但這些數(shù)據(jù)最后注定會(huì)被泄露,他們表示。
“這是信息的本質(zhì),‘三個(gè)人無法保住一個(gè)秘密,除非是其中兩個(gè)人死了。’(出自本杰明·富蘭克明)。”該運(yùn)營人員在一次在線聊天中告訴我說:“數(shù)據(jù)一旦已被進(jìn)行若干次交易,最終就會(huì)流傳到某個(gè)不值得信任的人手里,然后就會(huì)瘋狂地泛濫不止。”
MySpace 收到多個(gè)詢問請(qǐng)求,但都未表態(tài)。
LeakedSource 還寫道,密碼最初是由 SHA1算法進(jìn)行散列化,該算法被認(rèn)為性能較弱,易于攻破,雪上加霜的是,該公司在散列過程中沒有對(duì)密碼進(jìn)行“salt”,即在為使密碼難以攻破而進(jìn)行散列之前,沒有在密碼末端添加一串隨機(jī)字節(jié)。
因此LeakedSource 的運(yùn)營人員才告訴我,他們希望在月底破解98%到99%的密碼,盡管該人員拒絕透漏已經(jīng)破解多少。
10年前的MySpace 曾是互聯(lián)網(wǎng)上最大的網(wǎng)站之一,而如今這個(gè)社交媒體只是空有其名,有很嚴(yán)重的安全問題。該網(wǎng)址最近曾吹噓注冊(cè)用戶已跨過10億門檻,然而據(jù)去年的報(bào)告,每月只有5000萬個(gè)獨(dú)立訪客。
如果全部數(shù)據(jù)正確,這將會(huì)是有史以來規(guī)模最大的一次數(shù)據(jù)失竊。而且,如果全部數(shù)據(jù)正確,這將會(huì)是有史以來規(guī)模最大的一次數(shù)據(jù)失竊。更重要的是,這表明某些時(shí)候MySpace已經(jīng)被攻擊過,而且,該公司從未發(fā)現(xiàn)過此事,也未曾公開或在內(nèi)部披露過這些信息。如果所有數(shù)據(jù)真的都來自MySpace,這將是會(huì)曾出現(xiàn)過的最大規(guī)模的郵件和密碼泄露事件,并會(huì)在數(shù)據(jù)泄露意識(shí)網(wǎng)站Have I Been Pwned上名列榜首。
因此對(duì)用戶來說,即使棄用賬戶或讓賬戶休眠也會(huì)存在風(fēng)險(xiǎn),因?yàn)橘~戶中仍有可能包含個(gè)人數(shù)據(jù),并會(huì)在其他的網(wǎng)絡(luò)攻擊中加以利用。重要的是,如果你有MySpace賬號(hào),要進(jìn)行密碼修改。但最最重要的是,如果你在其他更加敏感的網(wǎng)絡(luò)服務(wù)中也使用同樣的密碼,也要立即更改。而且可以考慮使用LastPass 或 1Password等密碼管理器,讓你可以在每個(gè)不同的網(wǎng)站使用專有且強(qiáng)大的密碼。
東部時(shí)間下午5點(diǎn)1分更新:周五下午,自稱為Peace的黑客在網(wǎng)上的黑市The Real Deal上欲出售從Myspace上盜取的密碼以及賬戶等數(shù)據(jù),出價(jià)6比特幣(大約為2800美元)。
“在某個(gè)傻瓜散布這些信息之前,我要把它們賣出去。”Peace在一次網(wǎng)絡(luò)聊天中告訴我。