从 MySpace 4.27 亿数据泄漏 看网络安全之无奈

安全 作者:有料 2016-06-01 01:58:18 阅读:384
头条点评
全球第二大社交网站 MySpace 数据泄露
黑客以 6 比特币(约 2800 美元)价格出售
前段时间,境外媒体报道了全球知名职场社交平台 LinkedIn(领英)1.17 亿数据被泄露的消息,有人猜测数据可能源自四年前被黑事件。就在本周,代号为「Peace」的同一名黑客已经拿到了全球第二大的社交网站 MySpace  3.6 亿的用户账号以及4.27 亿的密码,并且在暗网上以 6 个比特币(相当于2800美元)的价格销售这批数据。这一次泄露的数据可比 LinkedIn 还要多得多。直至目前 MySpace 官方并未表态。如若泄漏事件属实,这会是——互联网史上最大规模的密码泄露事件。 
人们还没从 LinkedIn 数据泄露事件中缓过神来,马上又遇到黑客的第二次大招,技能 cd 时间 ( cool down ) 可是非常短哟~ 这一次 MySpace 数据泄露不止 4.27 亿密码,还有 3.6 亿的电子邮件信息,甚至有人准备乘乱捞上一笔。那么,黑客是如何获得 MySpace 数据的?被泄露的数据究竟包含哪些详细些内容?拿到数据的黑客会对你做些什么? 感兴趣的小伙伴我们继续看文章,狐狸酱的语音播报就先到这里~ 喜马拉雅 FM 的听众朋友们欢迎搜索公众号「声优控狐狸酱」一起来揭秘哟~
黑客是如何获得 MySpace 数据的?
近几年 MySpace 官方不曾报道过遭遇黑客攻击的消息,而代号为「Peace」的黑客也没有声明他是如何获得 MySpace 数据,目前我们无从得知「Peace」是否为泄漏数据的始作俑者,也无法得知数据流入 LeakedSource(付费黑客数据搜索引擎) 之前经过了多少次转手。黑客「Peace」行事极为低调,就连泄露事件本身都是由其他平台捅出来的。目前已有个别 MySpace 用户对数据进行测试也查到了真实密码,LeakedSource 平台上这批数据的真实性得到了进一步确认。 与 LinkedIn 数据一样,MySpace 数据还被挂到了暗网并以 6 比特币(折合人民币约 1.84 万)价格公开叫卖。
在这份数据泛滥之前,我必须把它卖出去。 —— 著名黑客「Peace」
被泄漏的数据究竟包含哪些内容?
据 LeakedSource 博客透露,被泄露的 MySpace 数据列表中有 427,484,128 个密码,但只有 360,213,024 个账户,数据列表的每项记录都包含了邮件地址、用户名、密码以及二次密码。通常热衷社交的人们会更详细填写个人资料,狐狸酱估计这批数据所关联上的隐私信息远不止如此。 和 LinkedIn 的情况一样,账号密码并非完全都能够匹配上。虽然 MySpace 官方给数据使用过 SHA1 算法进行散列化,但却没有同时给密码加 Salt ,任何人只需要通过类似 MD5 这样的破解网站就能轻易解密数据。如此一来也给 LeakedSource 破解密码提供了捷径。 现在,用户想要查看被泄露的详细 MySpace 数据,可以通过 LeakedSource 每天支付 2 美元或者年付 265 美元进行查看。LeakedSource 官方保证如果用户不希望他们的数据被查到,可以向他们发送请求删除的电子邮件。
然而,并没有什么用……
从黑客卖出第一份数据开始,被泄露的信息将在网络上呈指数级扩散,即便从 LeakedSource  删除了数据, 他人依旧可以从其他渠道购买。作为普通用户,除了修改更复杂的账户密码提升安全等级以外,也是无能为力了。 下面是 LeakedSource 平台透露的 MySpace 、Linkedin 密码 TOP 20: MySpace2
狐狸酱自制:被泄露的 MySpace 与 Linkedin 密码 TOP 20 对比
数据来源: leakedsource.com
为什么排名第一的密码是 “homelesspa”  而不是 “123456” ?因为这些密码是默认生成的哟~ 不过你有没有发现, 相比 Linkedin 来说 MySpace 的密码 TOP 20 看起来总有那么些怪异,就像是脚本批量注册生成的账号密码。之前 MySpace 曾高调宣称注册用户超过 10 亿,由此看来水分还是挺大的嘛。 接下来这份列表则是注册 MySpace 账号所使用的邮箱 TOP 20:
MySpace3
被泄露数据显示最常用的 MySpace 邮箱 数据来源自 leakedsource.com
传言与 5 月初邮箱泄露事件有关?
或许你会觉得上面 TOP 20 邮箱统计较难看出规律,那么请看狐狸酱为您准备的“邮箱服务提供商比例图” : MySpace4
狐狸酱自制:MySpace 被泄露数据 TOP 20 邮箱中
邮件服务提供商比例图
泄露数据中所涉及的厂商 Yahoo、微软、美国在线、谷歌、以及 MySpace 本身所占比例接近 70% 。这样的比例很容易让人联想到今年 5 月初旬发生的 “ 2.7 亿Gmail、雅虎和Hotmail账号遭泄露” 事件,事件中雅虎邮件被盗 4000 多万个、微软账号被盗  3300 多万个,甚至 Gmail 邮箱被盗数量也接近 2400万。 同一时间也有传言,由于黑客公开售卖 MySpace 数据一度导致了比特币价格的疯涨,当然,这些消息都还未经证实,顶多只能当做是茶余饭后的话题了。 MySpace5
导致比特币价格上涨其实只是猜测而已 那么,拿到数据的黑客会对你做什么?
互联网数据泄露一次次刷新历史记录,你有没有想过拿到数据的黑客究竟会对你做什么呢?以为被盗的只是一个 MySpace 账号,就不会对你个人财产造成影响么?NO NO NO~ 狐狸酱可以直接地告诉你,这样的想法太天真了……
首先,黑客不认识你,未必会对你做什么,但却会对你的账户、财产 “做点什么”。
如果你得罪了某个黑客,心态好的未必搭理你,心态不好的你就等着悲剧吧,人肉社工、肆意破坏个人名声、你想的到、想不到的都可能发生。
不要以为一个账号泄露造不成什么破坏。蝴蝶效应总是有的~
MySpace6
最后,为什么你还不改密码?
数据泄漏已经无法挽回,除了督促社交媒体尽快提升网站、数据安全性,无辜的用户似乎只有修改密码保护个人隐私信息这一个选择了。然而很无奈的是,尽管安全厂商多次提醒用户注意密码复杂度、唯一性,总有部分用户依旧我行我素。 其实用户很难从一次重大泄露事件中吸取教训,人都有侥幸心理认为即使数据泄露,也不会正好被自己碰上。除非自身账号真的被动了手脚,不然他们是不会有所动作的,即便是只需要动动手指就能降低风险的事情。 另外,被弃和休眠的账户也会存在风险,这些账户中仍包含的个人信息可能会在其他网络攻击中被加以利用。
如果有天黑客盗用了你之前弃用的账户跟好朋友们借款,还冒充你掰弯了隔壁老王,那该是多么可怕的事情~ 狐狸酱原本想推荐大家使用 1Password ,对于需要维护众多账号密码人们来说这是个不错的工具,但又想到,世上本就没有最安全的密码工具只好作罢。有需要的小伙伴们自行了解吧。或者你也可以像狐狸酱一样,自己写个脚本帮助加密解密呢~
以上就是本期的情报站内容,对本期资讯有看法和建议的朋友们,可以戳下方「留言」~ 觉得文章不错的小伙伴们欢迎打个赏啊,也让狐狸酱更有分享情报的动力嘛~ o(`ω´*)o 最后祝大小朋友们六一节快乐~ 本期开始声优控狐狸酱放出了最新头像~大家喜欢咩~ 感谢您的订阅收听,这里是「声优控狐狸酱」的情报站,我们下期再见~ PS:文章封面与事件引用自motherboard.vice.com, 账号与密码列表源自leakedsource.com。   本文来源《声控狐狸酱》,略有更改

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:http://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

图库
关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接