相關文章

28007c071bb67b7faf038cd1d6b5bf4f 上週駭客在暗網相繼洩漏了 Dropbox 和 Last.fm 兩家公司的上億條帳號密碼,暴露了Internet公司在保護用戶訊息上的嚴重缺陷。但現在這場「洩密事件」仍沒有停止的跡象,最新的消息是駭客團隊洩漏 了色情網站 Brazzers 近 80 萬條用戶帳號密碼。

這個被駭客公佈在暗網上的資料庫包含 928072 個帳號的訊息,其中包括 790724 個不同的電子郵箱地址以及許多用戶名和明文密碼。

在接受 The Next Web 採訪時,Brazzers 的公關經理 Matt Stevens 說:「這個資料庫最早是於 2012 在我們的 Brazzers 論壇上被洩漏的,但這個論壇由一個第三方機構管理。」

Stevens 說這個「第三方機構」使用的 vBulletin 管理軟體工具上存在的漏洞是資料庫洩漏的原因。而為了讓用戶使用方便, Brazzers 網站和 Brazzers 論壇之間的帳號是共享的。

上週一,Dropbox 披露該公司於 2012 年洩漏的 6800 萬條用戶的帳號密碼已經流出至暗網中,當時的數據洩漏於 Dropbox 的一次「安全事故」。

hacker-dropbox-660x330

2012 年 Dropbox 官方對此事件的解釋是:「丟失的密碼被用於 Dropbox 的員工帳號,其中包括帶有用戶電子郵件地址的檔案文件。我們認為,這一非法入侵導致了垃圾郵件的出現。我們對此感到抱歉,並採取了額外的控制措施,確保這種事故不會再次發生。」

也就是說,在當時 Dropbox 一直認為被洩漏的只有用戶的電子郵箱地址,所以他們才會在當時說「擔心用戶受到垃圾郵件的侵染」。但實際情況其實更加可怕,那就是這 6800 萬用戶的郵箱地址和密碼都被洩漏了。

但令人欣慰的是,這些被洩漏的密碼是已經被加密過的密碼,而不是用戶直接輸入的明文 密碼。在 2012 年訊息被洩漏之前,Dropbox 曾將自己的加密算法從 SHA-1 升級為 bcrypt,此外這些密碼還採用了強化加密的 salt 技術。也就是說即使駭客拿到了這些密碼,他們也只能看到一串沒有意義的字碼。

在上週五,駭客又將 2012 年從音樂服務網站 Last.fm 上竊取的 4357 萬條用戶密碼公佈在了 LeakedSource 網站上。這個資料庫是在 2012 年 5 月 22 日被洩漏的,當時 Last.fm 要求用戶重置自己的密碼。

LeakedSource 表示,他們花了 2 小時便破解了這個資料庫裡 96% 的密碼,這是因為 Last.fm 用戶的密碼並沒有用 salt 技術加強加密。

在 2012 年 6 月 7 日,也就是密碼被洩漏之後,Last.fm 的研發人員 Russ Garrett 就曾在 Twitter 上承認該公司用戶密碼使用的是 MD5 加密方法,但這種方法早在 2012 年之前就被認定是一種弱加密方法,目前已經有很多網站提供了 MD5 加密的一鍵破解工具。

根據 LeakedSource 公佈的訊息,這批被洩漏的資料包括用戶的電子郵箱地址、用戶名、密碼、註冊日期和一些 Last.fm 內部的服務數據。

在這些被洩漏的密碼中,諸如 123456、password、qwerty、abc123、music 這樣的低安全性密碼也佔據了相當大一部分,可見用戶對訊息安全有多麼不重視。

今年 5 月,職業社群網站 LinkedIn 也曾許宣佈有 1 億多條用戶的電子郵箱和密碼被洩漏至暗網,這些數據同樣來自 2012 年的一場駭客攻擊。

2012 年 6 月,一個名叫「dwdm」的駭客在一家俄羅斯論壇上公佈了 650 萬條 LinkedIn 的用戶加密密碼,隨後 LinkedIn 證實有 1 億用戶的帳號訊息被洩漏。

linkedin-data-breach-hack

直到最近,一個名為「Peace」的駭客在暗網上以 5 個比特幣(約 2200 美元)的價格公開出售這個資料庫。經驗證,這個資料庫裡包含了 1.17 億LinkedIn 用戶的帳號密碼,而很多用戶目前仍在使用這些密碼。

有趣的是,2012 年 Dropbox 的用戶密碼被洩漏的原因就是駭客利用了該公司開發人員的 LinkedIn 帳號訊息登錄了 Dropbox 的後台管理系統。


使用 Facebook 留言

發表回應

謹慎發言,尊重彼此。按此展開留言規則