上周黑客在暗网相继泄漏了Dropbox和Last.fm两家公司的上亿条账号密码,暴露了互联网公司在保护用户信息上的严重缺陷。但现在这场“泄密事件”仍没有停止的迹象,最新的消息是黑客团队泄漏了色情网站Brazzers近80万条用户账号密码。
这个被黑客公布在暗网上的数据库包含条928072个账号的信息,其中包括790724个不同的电子邮箱地址以及许多用户名和明文密码。
在接受TheNextWeb采访时,Brazzers的公关经理MattStevens说:“这个数据库最早是于2012在我们的Brazzers论坛上被泄漏的,但这个论坛由一个第三方机构管理。”
Stevens说这个“第三方机构”使用的vBulletin管理软件上存在的漏洞是数据库泄漏的原因。而为了让用户使用方便,Brazzers网站和Brazzers论坛之间的账号是共享的。
上周一,Dropbox披露该公司于2012年泄漏的6800万条用户的账号密码已经流出至暗网中,当时的数据泄漏源于Dropbox的一次“安全事故”。
2012年Dropbox官方博客对此事件的解释是:“丢失的密码被用于访问Dropbox的员工账号,其中包括带用户电子邮件地址的项目文件。我们认为,这一非法访问导致了垃圾邮件的出现。我们对此感到抱歉,并采取了额外的控制措施,确保这种事故不会再次发生。”
也就是说Dropbox一直认为被泄漏的只有用户的电子邮箱地址,所以他们才会担心用户受到垃圾邮件的侵染。但实际情况更加可怕,那就是这6800万用户的邮箱地址和密码都被泄漏了。
但令人欣慰的是,这些被泄漏的密码是已经被加密过的暗文密码,而不是用户直接输入的明文密码。在2012年信息被泄漏之前,Dropbox曾将自己的加密算法从SHA-1升级为bcrypt,此外这些密码还采用了随机数据串去强化加密的salt技术。也就是说即使黑客拿到了这些密码,他们也只能看到一串没有意义的字符。
而在上周五,黑客又将2012年从音乐服务网站Last.fm上窃取的4357万条用户密码公布在了LeakedSource网站上。这个数据库是在2012年5月22日被泄漏的,当时Last.fm要求用户重置自己的密码。
LeakedSource表示,他们花了2小时便破解了这个数据库里96%的密码,这是因为Last.fm用户的密码并没有用salt技术加强加密。
在2012年6月7日,也就是密码被泄漏之后,Last.fm的研发人员RussGarrett就曾在Twitter上承认该公司用户密码使用的是MD5加密方法,但这种方法早在2012年之前就被认定是一种弱加密方法,目前已经有很多网站提供了MD5加密的一键破解工具。
根据LeakedSource公布的信息,这批被泄漏的数据包括用户的电子邮箱地址、用户名、密码、注册日期和一些Last.fm内部的服务数据。
在这些被泄漏的密码中,诸如123456、password、qwerty、abc123、music这样的低级别密码也占据了相当大一部分,可见用户对信息安全有多么不重视。
今年5月,职业社交网站LinkedIn也曾许宣布有1亿多条用户的电子邮箱和密码被泄漏至暗网,这些数据同样来自2012年的一场黑客攻击。
2012年6月,一个名叫“dwdm”的黑客在一家俄罗斯论坛上公布了650万条LinkedIn的用户加密密码,随后LinkedIn证实有1亿用户的账号信息被泄漏。
linkedin-data-breach-hack
直到最近,一个名为“Peace”的黑客在暗网上以5个比特币(约2200美元)的价格公开出售这个数据库。经验证,这个数据库里包含了1.17亿LinkedIn用户的账号密码,而很多用户目前仍在使用这些密码。
有趣的是,2012年Dropbox的用户密码被泄漏的原因就是黑客利用了该公司开发人员的LinkedIn账号信息登录了Dropbox的后台管理系统。
(编辑:mao35 来源:wepingwest)
