[安全资讯]黑客售卖4亿MySpace密码-茶余饭后-看雪-安全社区|安全招聘|kanxue.com

[安全资讯]黑客售卖4亿MySpace密码

发表于: 2016-6-4 22:45 6589

[安全资讯]黑客售卖4亿MySpace密码

mczxs

2016-6-4 22:45

6589

新闻链接：http://sanwen8.cn/p/131UG2T.html
新闻时间：2016-06-04
新闻正文：
   在网络安全世界中流传着这么一句广为人知的俗语:世界上有两种公司,一种是已经被黑掉了,另一种是还不知道自己已经被黑掉的。

   社交媒体巨头MySpace显然属于第二种。上周在网上售卖1.64亿LinkedIn账户的黑客如今又开始叫嚣着他手中还有3.6亿MySpace用户的邮箱与密码,这有可能是有史以来最严重的密码泄露事件之一,并且这些数据可能已经在地下黑客们手中开始流传。

   没有人知道这些数据是什么时候从MySpace中偷出来的,但是一位名为Peace的黑客以及LeakedSource(一个付费被黑数据搜索引擎)的经营者都声称自己已经有了这些数据,他们说这些数据来自很久以前的一个入侵,并且从未被报道过。

   Peace与LeakedSource都没有给出泄露数据的样本信息,但Motherboard在LeakedSource网站上搜了三个职员以及两个在MySpace网站上注册了账号的朋友的邮箱地址,已经证明了数据的真实性,在上述五个例子中,LeakedSource均能够返回他们的密码信息。

   此数据库包含427,484,128个密码,但是只有360,213,024个邮箱号,LeakedSource在周五的博客贴子中声明,每一条被黑数据记录均包含“一个邮箱地址,一个用户名,一条密码,有些数据记录可能有两个密码”。

   “数据交易过一些次数据之后,最终会流传到不可信的人手中,并且不再保密,从而这些数据就会像树枝一样开始扩散”。

   “在这3.6亿数据记录中,111,341,258个账户绑定有用户名,68,493,651有一个次级密码(有一些没有包含主密码)”,LeakedSource在博文中如此写道,LeakedSource为它的用户提供16亿被黑数据或泄露数据的访问权限,而这些订阅用户需要花2美元每月或者265美元一年。

   LeakedSource写道,这些数据由一名称为Tessa88的人提供,我们对该网站的一名经营者Motherland进行了采访,他说他们并不知道数据的最初来源是何处,不知道是谁黑掉了MySpace,也不知道谁一直拥有这些数据,或者该公司是什么时候被黑。但是最终它们还是泄露了出来。

   “这是信息的固有属性,‘三个人之间要想有秘密,除非其中两个是死人’”,LeakSource的负责通过网上聊天这样跟我说。“数据交易过一些次数据之后,最终会流传到不可信的人手中,并且不再保密,从而这些数据就会像树枝一样开始扩散”。

   MySpace对于此事的诸多提问暂未发表评论。

   根据LeakedSource的统计,在MySpace数据库中最常用的密码

   据LeakedSource透露,MySpace数据库中使用的数据最初使用SHA1算法做了一次哈希,而SHA1是脆弱而且容易被破解的,LeakedSource写道,更糟糕的是,MySpace在对数据进行哈希的过程中没有“加盐”,“加盐”意为在对密码做哈希之前,在其未尾添加一些随机的数据,使它们更难以被破解。

   这就是为何LeakedSource所说到本月末他们可以破解98%至99%的数据,尽管他们没有透露他们已经成功破解了多少密码。

   在十多年前,MySpace社交网络是网上最大的网站之一,虽然如今它只剩下一个空壳,但这仍然是一次很有意义的黑客行为,这个网站最近吹擂说已经突破了十亿注册用户,且去年平均每月仍有五千万独立访客。

   如果它声明的总用户量的确是精确的话,那这足以称是史上规模最大的数据泄露事件之一。

   如果它声明的总用户量的确是精确的话,那这足以称是史上规模最大的数据泄露事件之一。并且更重要的是,根据用户量可以推测MySpace是什么时候被黑的,该公司可能从来没有意识到被黑,或者只是没有对公众以及它们的用户透露此事。如果所有的数据真实来自MySpace,那这将是史上最大的一次邮箱与密码泄露事件,足以在Have I Been Pwned 网站上排到榜首。

   此外,用户仍然有很大的风险,即使是已经废弃与停用的账户也不例外,因为其中可能仍然存在个人信息,而这些信息可以用于其他攻击活动。因此,如果你现在仍然有MySpace账号,请一定要修改密码。更重要的一点是,如果你在其他更重要的敏感服务上使用了同一个密码,那么也应该修改它们。同时,可以考虑使用LastPass或者1Password这类的密码管理器来帮助你为所有不同的网站使用独特,高强度的密码。

   5:01pm 更新:在周五下午,名为Peace的黑客在暗网的黑市The Real Deal上开始出售MySpace的数据,对于所有被盗的账户与密码,Peace开价6比特币(约合2800美元)。

   Peace通过在线聊天告诉我们,“在一些傻瓜开始传播之前,我得先卖一笔”。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

#资讯

收藏・0

免费・0

支持

最新回复 (3)
dennissss 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	dennissss 2 楼还好是国外。。 2016-6-14 18:27 0
corelly 雪币： 30 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	corelly 3 楼在国内，这种事根本不可能 2016-6-15 14:43 0
monriver 雪币： 67 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 67 回帖 177 粉丝 0 关注私信	monriver 4 楼国内更厉害吧 2016-11-16 12:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

mczxs

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
dennissss 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	dennissss 2 楼还好是国外。。 2016-6-14 18:27 0
corelly 雪币： 30 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	corelly 3 楼在国内，这种事根本不可能 2016-6-15 14:43 0
monriver 雪币： 67 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 67 回帖 177 粉丝 0 关注私信	monriver 4 楼国内更厉害吧 2016-11-16 12:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复