近日,数据泄露索引服务公司LeakedSource再次爆料:在2012年3月份,他们曾发现了一起网站数据泄漏事故,即:Last.fm网站(国外一个以音乐交流为主的社交平台网站,类似于我国的豆瓣网)遭到黑客攻击,其中43570999名用户的密码遭到泄漏。LeakedSource公司在最近提交的一份报告中,详细地介绍了此次事故的情况。
在数据泄漏发生3个月之后,2012年6月,Last.fm公司首次对此次事故给出了声明:
“现在,我们已经开始着手调查此次数据泄露事故了。调查的切入点便是遭到黑客泄漏的用户密码,以及之前发布在Last.fm上的一些相关信息。为了防止更多用户的信息遭到泄漏,我们要求公司的所有用户应立即修改自己的登录密码。”
直到现在,Last.fm公司仍未披露泄漏数据的总量以及事故的严重程度等重要信息。LeakedSource公司表示,Last.fm公司采用的密码加密方式是MD5不加盐处理。这种密码保存方式无异于直接以明文形式保存,安全性极低。几乎Last.fm公司旗下的每一个网站在保存用户的密码时,都采用了某种类似的Hash散列加密方式。不错,Hash散列确实是一种数据加密方式,但在现在看来,由于缺乏足够的安全性,它已经落伍了。
MD5之所以会落伍,一个很重要的原因便是:在该算法背后,没有强大的数学以及密码学等理论作为技术支撑,来提高其安全性,以致于这种加密算法在面对现代的暴力破解方法时,显得毫无招架之力。黑客很轻松地就能破解用类似方法加密的密码。同时,Last.fm公司在使用MD5算法加密过程中,并没有进行加盐处理,这也是导致数据发生泄漏的一个重要原因。加盐加密(Salting)是在对密码进行Hash处理的过程中,向每一个密码序列中,添加一个作为伪码的n位随机数字字符串(具体长度视密码长度而定),以加大破解难度,从而提高密码的安全性。而不幸的是,Last.fm并没有采取这一加密步骤。LeakedSource公司指出,其中的很多密码极易遭到黑客的暴力破解。
本周,LeakedSource公司再次向广大网民发出了警告,根据LeakedSourc“如果你是Last.fm网站用户,那么我们要求你应立即修改自己的登录密码,不要抱有任何的侥幸心理,因为下一个受害者很可能就是你!”e公司提供的数据显示,大量Last.fm网站用户最喜欢使用的密码居然是123456。对此,LeakedSource公司安全研究人员表示,“我们实在无法理解这一现象。我想,即使是一名菜鸟级的黑客,想要破解这类密码,也应该是易如反掌吧;况且,在当今这样一个全民重视信息安全的时代,使用如此简单的密码,也是对个人信息安全不负责任的表现。在提交注册密码之前,我们要求用户至少也要使用像类似于LastPass(一个优秀的在线密码管理器)的工具,来生成自己的密码。这样做的目的是,至少能在一定程度上维护数据的安全性,而不是使用自己随意编造的所谓的“密码”。”
文章原文链接:https://www.anquanke.com/post/id/84489