Myspace 遭遇史上最大规模数据泄露……Myspace?

下一篇文章

DuckDuckGo 将成为 Tor 的默认搜索引擎

你可能有很多年不曾想起、更别说是打开 Myspace 了(是的,这个网站还在。时代公司今年年初收购了 Viant 及其旗下财产,其中就包括 Myspace。)。不幸的是,Myspace 上面储存的用户数据并未随着网站走进历史。对于 Myspace 新的所有者来说,这是个坏消息,因为 Myspace 在美国阵亡将士纪念日周末假期之前 证实 ,公司收到了警告称大量的 Myspace 用户名和密码已被黑客窃取,并在一个黑客论坛上出售。

不过,这些用户数据都是几年前的。它们似乎只是 2013 年 6 月 11 日以前旧 Myspace 平台用户数据的一部分,在此之后,Myspace 推出了新版网页,增加了安全性。

时代公司并未确认泄露的数据中包含多少个用户帐户,但 LeakedSource.com 的一份报告称,有超过 3.6 亿帐户被泄露。每条信息中都包括一个邮件地址和一个密码,有的信息中还包括一个备用密码。由于有的帐户有多个密码,这意味着共有超过 4.27 亿个密码被出售。

尽管泄露的数据比较旧,但庞大的数据量使得此次泄漏很引人注目。信息安全公司 Sophos 的安全研究人员 ,此次泄露可能是有史以来最大规模的数据泄露事件,远远超过了最近被曝光的因 2012 年的一次黑客攻击而导致 1.17 亿条 LinkedIn 用户数据 被泄露的事件。

研究人员的估计是有道理的—— 虽然以往发生过许多次大规模的数据泄露事件,但其中规模最大的也比不上这次事件的规模 。美国选民数据泄露事件中有 1.91 亿条信息被泄露,美国健康保险公司 Anthem 则有 8000 万条,eBay 有 1.45 亿条,连锁零售商 Target 有 7000 万条,信用咨询公司 Experian 有 2 亿条,支付服务公司 Heartland 有 1.3 亿条,等等。

passwords-myspace 旧数据泄露问题的根本原因是这些数据产生于一个安全措施不够强的时代。也就是说,这些密码很容易被破解。LeakedSource 列出了被破解的帐户中使用频率最高的 50 个密码。这些密码的总数超过了 600 万,却只占全部被窃密码的 1.5%,足见此次泄露的规模之大。

被窃的密码使用未盐化的(unsalted)SHA-1 算法进行散列化,LinkedIn 被窃的密码也是如此。

由于 Myspace 在 2013 年 6 月推出了新版网页,同时加强了帐户的安全性,包括使用加盐两次的散列储存密码,时代公司可以据此在一定程度上确定数据泄露的时间。经确认,此次泄露对 Myspace 的其他系统、付费用户信息及其它媒体资产没有影响,泄露的数据中也不包含任何财务信息。

Myspace 目前正在通知用户,并已经让已知受影响帐户的密码失效。

公司称,正在使用自动化工具,以便识别和阻止 Myspace 帐户出现任何可疑的活动。

Myspace 的 CEO 杰夫·贝尔斯托(Jeff Bairstow)在一份声明中说:“我们非常重视客户数据和信息的安全和隐私,尤其是在这个恶意黑客越来越老练、数据泄露在整个行业中变得非常普遍的时代。我们的信息安全和隐私团队正在尽其所能给予 Myspace 团队支持。”

但是,尽管窃取发生在几年前,泄露的数据也比较旧,此次事件仍产生了一定的影响。因为非常多的网民会把同一密码用在不同的网站上,黑客可以将密码与其他用户名或邮件配对,从而破解用户目前在其他网站上的帐户。

当然,用户很可能早已忘记他们几年前在 Myspace 上的密码,这使得保护目前的帐户变得更加困难。因此,用户最好一直使用更复杂的密码,并定期重新设置密码,同时可以利用 Dashlane 或 LastPass 等密码管理工具记录网站登录信息。

Myspace 还证实了 用户数据是被自称“Peace”的俄罗斯网络黑客窃取的。LinkedIn 和 Tumblr 数据泄露事件的幕后黑手也是这名黑客。Tumblr 的数据泄露影响到了超过 6500 万个帐户,但这些密码是“加盐的”,也就是说,这些密码更难破解。

Myspace 称正在配合执法机构调查此次数据泄露事件。

Recently confirmed Myspace hack could be the largest yet

blog comments powered by Disqus