首页
社区
课程
招聘
[安全资讯]黑客售卖4亿MySpace密码
发表于: 2016-6-4 22:45 6728

[安全资讯]黑客售卖4亿MySpace密码

2016-6-4 22:45
6728
新闻链接:http://sanwen8.cn/p/131UG2T.html
新闻时间:2016-06-04
新闻正文:
       在网络安全世界中流传着这么一句广为人知的俗语:世界上有两种公司,一种是已经被黑掉了,另一种是还不知道自己已经被黑掉的。

       社交媒体巨头MySpace显然属于第二种。上周在网上售卖1.64亿LinkedIn账户的黑客如今又开始叫嚣着他手中还有3.6亿MySpace用户的邮箱与密码,这有可能是有史以来最严重的密码泄露事件之一,并且这些数据可能已经在地下黑客们手中开始流传。

       没有人知道这些数据是什么时候从MySpace中偷出来的,但是一位名为Peace的黑客以及LeakedSource(一个付费被黑数据搜索引擎)的经营者都声称自己已经有了这些数据,他们说这些数据来自很久以前的一个入侵,并且从未被报道过。

       Peace与LeakedSource都没有给出泄露数据的样本信息,但Motherboard在LeakedSource网站上搜了三个职员以及两个在MySpace网站上注册了账号的朋友的邮箱地址,已经证明了数据的真实性,在上述五个例子中,LeakedSource均能够返回他们的密码信息。

       此数据库包含427,484,128个密码,但是只有360,213,024个邮箱号,LeakedSource在周五的博客贴子中声明,每一条被黑数据记录均包含“一个邮箱地址,一个用户名,一条密码,有些数据记录可能有两个密码”。

       “数据交易过一些次数据之后,最终会流传到不可信的人手中,并且不再保密,从而这些数据就会像树枝一样开始扩散”。

       “在这3.6亿数据记录中,111,341,258个账户绑定有用户名,68,493,651有一个次级密码(有一些没有包含主密码)”,LeakedSource在博文中如此写道,LeakedSource为它的用户提供16亿被黑数据或泄露数据的访问权限,而这些订阅用户需要花2美元每月或者265美元一年。

       LeakedSource写道,这些数据由一名称为Tessa88的人提供,我们对该网站的一名经营者Motherland进行了采访,他说他们并不知道数据的最初来源是何处,不知道是谁黑掉了MySpace,也不知道谁一直拥有这些数据,或者该公司是什么时候被黑。但是最终它们还是泄露了出来。

       “这是信息的固有属性,‘三个人之间要想有秘密,除非其中两个是死人’”,LeakSource的负责通过网上聊天这样跟我说。“数据交易过一些次数据之后,最终会流传到不可信的人手中,并且不再保密,从而这些数据就会像树枝一样开始扩散”。

       MySpace对于此事的诸多提问暂未发表评论。

       根据LeakedSource的统计,在MySpace数据库中最常用的密码

       据LeakedSource透露,MySpace数据库中使用的数据最初使用SHA1算法做了一次哈希,而SHA1是脆弱而且容易被破解的,LeakedSource写道,更糟糕的是,MySpace在对数据进行哈希的过程中没有“加盐”,“加盐”意为在对密码做哈希之前,在其未尾添加一些随机的数据,使它们更难以被破解。

       这就是为何LeakedSource所说到本月末他们可以破解98%至99%的数据,尽管他们没有透露他们已经成功破解了多少密码。

       在十多年前,MySpace社交网络是网上最大的网站之一,虽然如今它只剩下一个空壳,但这仍然是一次很有意义的黑客行为,这个网站最近吹擂说已经突破了十亿注册用户,且去年平均每月仍有五千万独立访客。

       如果它声明的总用户量的确是精确的话,那这足以称是史上规模最大的数据泄露事件之一。

       如果它声明的总用户量的确是精确的话,那这足以称是史上规模最大的数据泄露事件之一。并且更重要的是,根据用户量可以推测MySpace是什么时候被黑的,该公司可能从来没有意识到被黑,或者只是没有对公众以及它们的用户透露此事。如果所有的数据真实来自MySpace,那这将是史上最大的一次邮箱与密码泄露事件,足以在Have I Been Pwned 网站上排到榜首。

       此外,用户仍然有很大的风险,即使是已经废弃与停用的账户也不例外,因为其中可能仍然存在个人信息,而这些信息可以用于其他攻击活动。因此,如果你现在仍然有MySpace账号,请一定要修改密码。更重要的一点是,如果你在其他更重要的敏感服务上使用了同一个密码,那么也应该修改它们。同时,可以考虑使用LastPass或者1Password这类的密码管理器来帮助你为所有不同的网站使用独特,高强度的密码。

       5:01pm 更新:在周五下午,名为Peace的黑客在暗网的黑市The Real Deal上开始出售MySpace的数据,对于所有被盗的账户与密码,Peace开价6比特币(约合2800美元)。

       Peace通过在线聊天告诉我们,“在一些傻瓜开始传播之前,我得先卖一笔”。

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 2
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
还好是国外。。
2016-6-14 18:27
0
雪    币: 30
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
在国内,这种事根本不可能
2016-6-15 14:43
0
雪    币: 67
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
国内更厉害吧
2016-11-16 12:05
0
游客
登录 | 注册 方可回帖
返回
//