黑客欲将盗取的4.27亿个MySpace密码以2800美元卖出_最新动态_新闻资讯_程序员俱乐部

中国优秀的程序员网站程序员频道CXYCLUB技术地图
热搜:
更多>>
 
您所在的位置: 程序员俱乐部 > 新闻资讯 > 最新动态 > 黑客欲将盗取的4.27亿个MySpace密码以2800美元卖出

黑客欲将盗取的4.27亿个MySpace密码以2800美元卖出

 2016/5/29 5:31:17    程序员俱乐部  我要评论(0)
  • 摘要:网络安全领域有一个被屡屡提及的格言:公司分两种,一种是已经被黑客攻击的,一种,是还不知道已被攻击的。社交媒体巨头MySpace,明显属于第二种。上周还在售卖超过1.64亿Linkedln用户数据的同一个黑客,本周继而宣称已拿到MySpace用户的3.6亿封邮件和密码,如果属实,这将是史上最大规模的密码泄露事件。而且,这份数据似乎已在其他黑客中流传开来。该黑客名为Peace,从MySpace中盗走数据的时间不明,但黑客自己和一个LeakedSource(被入侵数据的有偿搜索引擎)的操作员说法一致
  • 标签:Myspace 黑客

<a href=黑客欲将盗取的 4.27 亿个 MySpace 密码以 2800 美元卖出" />

  网络安全领域有一个被屡屡提及的格言:公司分两种,一种是已经被黑客攻击的,一种,是还不知道已被攻击的。

  社交媒体巨头 MySpace,明显属于第二种。上周还在售卖超过 1.64 亿 Linkedln 用户数据的同一个黑客,本周继而宣称已拿到 MySpace 用户的 3.6 亿封邮件和密码,如果属实,这将是史上最大规模的密码泄露事件。而且,这份数据似乎已在其他黑客中流传开来。

  该黑客名为 Peace, 从 MySpace 中盗走数据的时间不明,但黑客自己和一个 LeakedSource(被入侵数据的有偿搜索引擎)的操作员说法一致,且后者称有证据表明,数据泄露发生的原因是过去曾有一个未被报告的漏洞。

  Peace 和 LeakedSource 都未提供被盗数据的样例。为验证这些泄露的数据是否正确, Motherboard 网站将曾在 MySpace 注册过的三位员工以及两个公司员工的朋友的邮箱地址提交给 LeakedSource ,结果 LeakedSource 正确地回复了对应邮箱的密码。

  LeakedSource 于周五在一篇博文中宣布了泄露事件。该数据集有 427,484,128 个密码,但只有 360,213,024 亿封邮件,该文还称,数据集中的每项记录都包含“一个邮件地址,一个用户名,一个密码,某些情况下还包括一个备用密码”。

  “数据一旦已被进行若干次交易,最终就会流传到某个不值得信任的人手里,然后就会疯狂地泛滥不止。”

  “在这 3.6 亿邮件中,有 111,341,258 个账户绑定了用户名,有 68,493,651 个账户有备用密码(其中有些没有设置第一密码)。”LeakedSource 写道。LeakedSource 的用户可每天支付 2 美元,也可每年支付 265 美元,就能登录其网站并浏览该公司声称的超过 16 亿被攻击或被泄露的数据记录。

  文中表示,数据由某个化名为 Tessa88 的人提供,但在与 Motherboard 的采访中。该网站的一个运营人员说他们不清楚泄露数据的真实来源,比如说谁是第一个盗取 MySpace 的人,也不知道谁在“这段时间”一直持有该数据,以及该公司被攻击的时间。但这些数据最后注定会被泄露,他们表示。

  “这是信息的本质,‘三个人无法保住一个秘密,除非是其中两个人死了。’(出自本杰明·富兰克明)。”该运营人员在一次在线聊天中告诉我说:“数据一旦已被进行若干次交易,最终就会流传到某个不值得信任的人手里,然后就会疯狂地泛滥不止。”

  MySpace 收到多个询问请求,但都未表态。

  LeakedSource 还写道,密码最初是由 SHA1 算法进行散列化,该算法被认为性能较弱,易于攻破,雪上加霜的是,该公司在散列过程中没有对密码进行“salt”,即在为使密码难以攻破而进行散列之前,没有在密码末端添加一串随机字节。

  因此 LeakedSource 的运营人员才告诉我,他们希望在月底破解 98% 到 99% 的密码,尽管该人员拒绝透漏已经破解多少。

  10 年前的 MySpace 曾是互联网上最大的网站之一,而如今这个社交媒体只是空有其名,有很严重的安全问题。该网址最近曾吹嘘注册用户已跨过 10 亿门槛,然而据去年的报告,每月只有 5000 万个独立访客

  如果全部数据正确,这将会是有史以来规模最大的一次数据失窃。而且,如果全部数据正确,这将会是有史以来规模最大的一次数据失窃。更重要的是,这表明某些时候 MySpace 已经被攻击过,而且,该公司从未发现过此事,也未曾公开或在内部披露过这些信息。如果所有数据真的都来自 MySpace,这将是会曾出现过的最大规模的邮件和密码泄露事件,并会在数据泄露意识网站 Have I Been Pwned 上名列榜首。

  因此对用户来说,即使弃用账户或让账户休眠也会存在风险,因为账户中仍有可能包含个人数据,并会在其他的网络攻击中加以利用。重要的是,如果你有 MySpace 账号,要进行密码修改。但最最重要的是,如果你在其他更加敏感的网络服务中也使用同样的密码,也要立即更改。而且可以考虑使用 LastPass 或 1Password 等密码管理器,让你可以在每个不同的网站使用专有且强大的密码。

  东部时间下午 5 点 1 分更新:周五下午,自称为 Peace 的黑客在网上的黑市 The Real Deal 上欲出售从 Myspace 上盗取的密码以及账户等数据,出价 6 比特币(大约为 2800 美元)。

  “在某个傻瓜散布这些信息之前,我要把它们卖出去。”Peace 在一次网络聊天中告诉我。

发表评论
用户名: 匿名