在地下市场上出售6500万Tumblr账户记录
几周前,Tumblr通知用户的数据泄露的用户导致用户电子邮件地址和哈希密码的盗窃。该公司没有说有多少账户受到影响,但最近有人将数据放在销售中,而且数字是:6500万条记录。
这些数据在由名叫安和平的用户销售给Thereaweal的Thereaw_Mind销售,他还从LinkedIn销售了16700万个用户记录。最近,他还发布了3.6亿账户的优惠,据称从MySpace偷走了从成人约会网站扑腾网站的4000万。
根据Tumblr的安全说明,于5月12日,攻击者在2013年初获得了用户电子邮件地址,并在2013年初,公司被雅虎收购。
安全研究员特洛伊亨特获得了数据的副本,并将其上传到了我被PWNED?,一个他维护的网站,并让用户检查它们是否受到已知数据漏洞的影响。根据他,电子邮件地址伴随着盐渍的SHA1密码哈希。
Hashing是一种单向操作,可以生成一个名为hashes的字符串的唯一验证的加密表示。哈希有用用于验证和存储数据库中的密码,因为在盗窃攻击者的情况下,理论上是能够将它们转换为密码。
然而,像MD5和SHA1这样的一些旧散列算法容易受到各种开裂技术。这发生在LinkedIn Breach中,其中密码哈希用Vanilla Sha1生成,允许研究人员裂开超过80%。
幸运的是,在Tumblr的情况下,散布也“盐渍”,这意味着在散列之前将一个随机的文本添加到密码中。这使得裂缝不太实用,只要盐本身没有受到损害。
即便如此,用户应该指望,也应该尽快更改密码。他们可以验证它们是否通过搜索Hasibeenpwned.com数据库中搜索其电子邮件地址而受到影响。
如果他们在其他网站上重复使用Tumblr密码,用户也应该在这些网站上更改。它们还应审查这些帐户的活动及其登录历史记录,以获取此功能的服务。
值得注意的是,即使它现在唯一的公共领域才能浮出水面,这个违规日期返回2013年,三年是攻击者从被盗数据获利很长一段时间。