leakedsource再爆料:last.fm网站被黑,4300万用户的个人密码遭泄漏-k8凯发天生赢家

leakedsource再爆料:last.fm网站被黑,4300万用户的个人密码遭泄漏
作者:安全客 发布时间:2016-09-03

近日,数据泄露索引服务公司leakedsource再次爆料:在2012年3月份,他们曾发现了一起网站数据泄漏事故,即:last.fm网站(国外一个以音乐交流为主的社交平台网站,类似于我国的豆瓣网)遭到黑客攻击,其中43570999名用户的密码遭到泄漏。leakedsource公司在最近提交的一份报告中,详细地介绍了此次事故的情况。

在数据泄漏发生3个月之后,2012年6月,last.fm公司首次对此次事故给出了声明:

“现在,我们已经开始着手调查此次数据泄露事故了。调查的切入点便是遭到黑客泄漏的用户密码,以及之前发布在last.fm上的一些相关信息。为了防止更多用户的信息遭到泄漏,我们要求公司的所有用户应立即修改自己的登录密码。”

直到现在,last.fm公司仍未披露泄漏数据的总量以及事故的严重程度等重要信息。leakedsource公司表示,last.fm公司采用的密码加密方式是md5不加盐处理。这种密码保存方式无异于直接以明文形式保存,安全性极低。几乎last.fm公司旗下的每一个网站在保存用户的密码时,都采用了某种类似的hash散列加密方式。不错,hash散列确实是一种数据加密方式,但在现在看来,由于缺乏足够的安全性,它已经落伍了。

md5之所以会落伍,一个很重要的原因便是:在该算法背后,没有强大的数学以及密码学等理论作为技术支撑,来提高其安全性,以致于这种加密算法在面对现代的暴力破解方法时,显得毫无招架之力。黑客很轻松地就能破解用类似方法加密的密码。同时,last.fm公司在使用md5算法加密过程中,并没有进行加盐处理,这也是导致数据发生泄漏的一个重要原因。加盐加密(salting)是在对密码进行hash处理的过程中,向每一个密码序列中,添加一个作为伪码的n位随机数字字符串(具体长度视密码长度而定),以加大破解难度,从而提高密码的安全性。而不幸的是,last.fm并没有采取这一加密步骤。leakedsource公司指出,其中的很多密码极易遭到黑客的暴力破解。

本周,leakedsource公司再次向广大网民发出了警告,根据leakedsourc“如果你是last.fm网站用户,那么我们要求你应立即修改自己的登录密码,不要抱有任何的侥幸心理,因为下一个受害者很可能就是你!”e公司提供的数据显示,大量last.fm网站用户最喜欢使用的密码居然是123456。对此,leakedsource公司安全研究人员表示,“我们实在无法理解这一现象。我想,即使是一名菜鸟级的黑客,想要破解这类密码,也应该是易如反掌吧;况且,在当今这样一个全民重视信息安全的时代,使用如此简单的密码,也是对个人信息安全不负责任的表现。在提交注册密码之前,我们要求用户至少也要使用像类似于lastpass(一个优秀的在线密码管理器)的工具,来生成自己的密码。这样做的目的是,至少能在一定程度上维护数据的安全性,而不是使用自己随意编造的所谓的“密码”。”


网站地图