阿根廷最大社交網站Taringa遭遇大規模數據泄漏,超過2800萬用戶數據暴露
如果你有Taringa(也被稱為「拉丁美洲的Reddit」)網站賬號,那麼請注意,你的賬戶詳細信息可能已經在大規模數據泄漏事件中泄漏出來了,據悉,此次約有超過2800萬用戶的登錄信息受到影響。
關於Taringa
Taringa是一個來自阿根廷的社交網站,有西班牙語及葡萄牙語兩個版本,其重要流量來自拉美國家及西班牙,誕生於2004年。在Taringa社區,用戶只需在線註冊一個賬戶就能在社區發帖分享信息,如有趣的照片、網路段子、突發新聞文章等。
超過2800萬Taringa用戶數據泄漏
近日,漏洞通知網站LeakBase報告稱,他們已經獲得了一個包含28,722,877個帳戶的詳細信息的泄漏資料庫副本,其中包含Taringa用戶的用戶名、電子郵件地址以及哈希密碼(hashed passwords)。
據悉,該哈希密碼使用了一種稱為「MD5」的老舊演算法,該演算法早在2012年前就已經被認為是過時的,所以很容易被破解,也就是說對於黑客而言,這些數據就相當於處於毫無防護的公開狀態。
想知道MD5演算法到底有多弱嗎?LeakBase團隊已經在短短几天的時間內成功破解了93.79%(約2700萬)的哈希密碼。
目前,LeakBase已經與外媒網站The Hacker News共享了近450萬Taringa用戶的泄漏數據,以幫助驗證這份泄漏資料庫的真實性。
關於泄漏數據中涉及的電子郵箱地址,我們已經使用其純文本的密碼隨機聯繫了其中幾個Taringa用戶,他們也已經確認了憑證的真實性。
據悉,此次數據泄漏事件發生在上個月,公司隨後已經通過博客發帖通知了客戶,並分享了更多有關該事件的詳細信息。
帖子寫道,
攻擊者很可能已經破解了包含用戶名、電子郵件地址和加密密碼的資料庫。來自其他社交網路的電話號碼和訪問憑證以及Taringa項目的比特幣錢包等數據並未遭泄漏。目前,沒有具體證據表明攻擊者在繼續訪問Taringa代碼!我們的安全團隊會繼續監測基礎設施的異常行為,最大限度降低對用戶的不利影響。
為了保護其用戶,Taringa目前正在通過電子郵件向其用戶發送一個密碼重置鏈接,避免繼續使用舊密碼訪問帳戶。
Taringa發言人表示,
我們已經制定了大量的密碼重置策略,並將密碼從MD5轉換為SHA256。我們也已經通過客戶支持團隊與我們的社區取得了聯繫。
泄漏數據分析
研究人員針對泄漏資料庫進行了簡單的分析,結果顯示,無論經過多少次教訓和警告,大多數人仍然在繼續使用簡單的密碼來保護他們最敏感的數據。
如下圖所示,LeakBase設法破解了28,722,877個密碼中的26,939,351個,其中超過1500萬個屬於獨特密碼。絕大多數破解的密碼是只有字母(30.81%)或小寫字母(29.89%),不包含任何特殊字元或符號。
下面我們列出了Taringa用戶選擇的最受歡迎/常用的密碼,其中還包括一些最差的密碼,如123456789、123456、1234567890、000000、12345以及12345678等。
分析發現,最受歡迎的密碼長度為6個字元,緊接著是8個字元、9個字元以及10個字元。密碼長度越長,所佔比例也隨之大幅下降。
但是,選擇弱密碼是否完全是Taringa用戶的責任呢?不完全是!這也是Taringa公司的責任,因為他們未對其用戶實施強力有效的密碼策略,而是放任用戶使用弱密碼進行註冊。
數據泄漏後,該公司將責任歸咎於最終用戶薄弱的密碼防護意識,但是他們卻忘了為其客戶提供一個更強大的密碼策略。
截至目前為止,我們尚不清楚此次針對Taringa的攻擊事件幕後黑手是誰,以及他們是如何入侵到該公司伺服器中的。
與此同時,在另一份新聞中,我們報道了一位不知名的黑客在一個在線網站Doxagram上出售了超過600萬個名人Instagram賬戶的郵件地址以及電話號碼等個人信息,其中包括賈斯丁·比伯以及泰勒·斯威夫特等。
如何防止數據泄漏
當然,如果你屬於潛在受害者行列,強烈建議你立即更改賬號密碼。此外,更改與Taringa賬號密碼相同的其他在線賬戶的密碼,避免撞庫攻擊。
需要注意的是,即便是網站允許你創建一個密碼較弱的賬號,你也應該儘可能地選擇一個較為複雜的密碼。如果你覺得這樣難以記憶,建議你可以選擇使用可靠的密碼管理器。
此外,請勿點擊電子郵件中任何可疑的鏈接或附件,並在沒有任何驗證資源的情況下,提供有關個人或財務方面的信息。
本文翻譯自:http://thehackernews.com/2017/09/taringa-data-breach-hacking.html,如若轉載,請註明來源於嘶吼: http://www.4hou.com/info/news/7554.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※越過CPS,再看IoT安全
※谷歌、Facebook等公司不願分享用戶數據,英國政府用高稅收威脅
※手機「成人影院」套路深:假「草榴」 真騙錢
※比「壞兔子」更可怕,數千網站正被惡意利用
※拔掉網線就安全?有人聽你電腦風扇聲音就能黑掉你!
TAG:信息安全 |