在网络安全世界中流传着这么一句广为人知的俗语:世界上有两种公司,一种是已经被黑掉了,另一种是还不知道自己已经被黑掉的。
社交媒体巨头MySpace显然属于第二种。上周在网上售卖1.64亿LinkedIn账户的黑客如今又开始叫嚣着他手中还有3.6亿MySpace用户的邮箱与密码,这有可能是有史以来最严重的密码泄露事件之一,并且这些数据可能已经在地下黑客们手中开始流传。
没有人知道这些数据是什么时候从MySpace中偷出来的,但是一位名为Peace的黑客以及LeakedSource(一个付费被黑数据搜索引擎)的经营者都声称自己已经有了这些数据,他们说这些数据来自很久以前的一个入侵,并且从未被报道过。
Peace与LeakedSource都没有给出泄露数据的样本信息,但Motherboard在LeakedSource网站上搜了三个职员以及两个在MySpace网站上注册了账号的朋友的邮箱地址,已经证明了数据的真实性,在上述五个例子中,LeakedSource均能够返回他们的密码信息。
此数据库包含427,484,128个密码,但是只有360,213,024个邮箱号,LeakedSource在周五的博客贴子中声明,每一条被黑数据记录均包含“一个邮箱地址,一个用户名,一条密码,有些数据记录可能有两个密码”。
“数据交易过一些次数据之后,最终会流传到不可信的人手中,并且不再保密,从而这些数据就会像树枝一样开始扩散”。
“在这3.6亿数据记录中,111,341,258个账户绑定有用户名,68,493,651有一个次级密码(有一些没有包含主密码)”,LeakedSource在博文中如此写道,LeakedSource为它的用户提供16亿被黑数据或泄露数据的访问权限,而这些订阅用户需要花2美元每月或者265美元一年。
LeakedSource写道,这些数据由一名称为Tessa88的人提供,我们对该网站的一名经营者Motherland进行了采访,他说他们并不知道数据的最初来源是何处,不知道是谁黑掉了MySpace,也不知道谁一直拥有这些数据,或者该公司是什么时候被黑。但是最终它们还是泄露了出来。
“这是信息的固有属性,‘三个人之间要想有秘密,除非其中两个是死人’”,LeakSource的负责通过网上聊天这样跟我说。“数据交易过一些次数据之后,最终会流传到不可信的人手中,并且不再保密,从而这些数据就会像树枝一样开始扩散”。
MySpace对于此事的诸多提问暂未发表评论。
根据LeakedSource的统计,在MySpace数据库中最常用的密码
据LeakedSource透露,MySpace数据库中使用的数据最初使用SHA1算法做了一次哈希,而SHA1是脆弱而且容易被破解的,LeakedSource写道,更糟糕的是,MySpace在对数据进行哈希的过程中没有“加盐”,“加盐”意为在对密码做哈希之前,在其未尾添加一些随机的数据,使它们更难以被破解。
这就是为何LeakedSource所说到本月末他们可以破解98%至99%的数据,尽管他们没有透露他们已经成功破解了多少密码。
在十多年前,MySpace社交网络是网上最大的网站之一,虽然如今它只剩下一个空壳,但这仍然是一次很有意义的黑客行为,这个网站最近吹擂说已经突破了十亿注册用户,且去年平均每月仍有五千万独立访客。
如果它声明的总用户量的确是精确的话,那这足以称是史上规模最大的数据泄露事件之一。
如果它声明的总用户量的确是精确的话,那这足以称是史上规模最大的数据泄露事件之一。并且更重要的是,根据用户量可以推测MySpace是什么时候被黑的,该公司可能从来没有意识到被黑,或者只是没有对公众以及它们的用户透露此事。如果所有的数据真实来自MySpace,那这将是史上最大的一次邮箱与密码泄露事件,足以在Have I Been Pwned 网站上排到榜首。
此外,用户仍然有很大的风险,即使是已经废弃与停用的账户也不例外,因为其中可能仍然存在个人信息,而这些信息可以用于其他攻击活动。因此,如果你现在仍然有MySpace账号,请一定要修改密码。更重要的一点是,如果你在其他更重要的敏感服务上使用了同一个密码,那么也应该修改它们。同时,可以考虑使用LastPass或者1Password这类的密码管理器来帮助你为所有不同的网站使用独特,高强度的密码。
5:01pm 更新:在周五下午,名为Peace的黑客在暗网的黑市The Real Deal上开始出售MySpace的数据,对于所有被盗的账户与密码,Peace开价6比特币(约合2800美元)。
Peace通过在线聊天告诉我们,“在一些傻瓜开始传播之前,我得先卖一笔”。