【国际信安】蝴蝶效应-Tumblr账户泄露事件引起多家账户数据撞库

据称,6500万的Tumblr账户已经受到攻击,但是不用担心,因为攻击发生在2013年,也就是雅虎接管该平台...



据称,6500万的Tumblr账户已经受到攻击,但是不用担心,因为攻击发生在2013年,也就是雅虎接管该平台之前。

Tumblr最近透露说,他们发现自己的系统受到了攻击,用户的帐户和密码也受到了影响。该公司表示,这场攻击其实早在2013年就已经发生,但是他们最近才发现。公司拒绝透露数据受到影响的用户的数量,但是安全研究人员在做了一个独立的分析之后,认为数量可能达到了6800万。

Hacked-DB的网络情报及暗网专家Atar Kochavi最近得到了安全漏洞的数据。Kochavi告诉HackRead,受攻击的账户的数量达到了65469298个。当HackRead想要联系Tumblr证实此事时,该公司拒绝置评。

如果你是这次攻击的目标用户,那么应该会收到Tumblr发来的警告电子邮件。

幸运的是, 泄漏数据中包含的密码并不是明文,而是散列格式的,在这种形式下,密码会被放置在随机数字中。Tumblr在公开泄露的细节时还说,他们在弄散这些密码之前,还在每个密码的最后添加了不同的字节数。然而,当该公司披露此次泄露时,并没有透露他们用于加密的算法。

自从Tumblr公布了此次数据泄露事件之后,那些数据似乎就开始在地下信息市场中流传。因为攻击过LinkedIn而闻名的黑客Peace表示,他手上有Tumblr泄露出来的数据,并在暗网中出售。他还说,Tumblr在加密时使用的是SHA1算法。不过,Tumblr的哈希密码还有另一个优势——他们还给密码“加盐”了,这让黑客很难破解密码。

Peace说,他拥有的数据库只是一组密码,只能以150美元的价格出售。Kochavi也表示,鉴于攻击和事件公布之间的时间跨度太长,并且在2013年的时候,他们的密码也不像现在这么强大,因为密码很可能已被破解。

Kochavi认为这是有史以来第三大数据泄漏,仅次于MySpace.com的4.27亿个账户泄漏和Adobe的1.52亿账户泄露事件。Hacked-DB向所有可能受到影响的人展示了这些数据,但这是一个次要来源,因为自Tumblr公布泄露之后,公司已经用邮件提醒过受影响用户重置密码。

本月早些时候,LinkedIn也发现了可以追溯到几年前的数据泄露, MySpace的事件也是在本月被公布的。目前还不知道是否会有更多的泄露事件出现,但正如我们所看到的,任何人都可能会受到黑客攻击,并且这些信息会慢慢浮出水面。

受攻击的账户会在后来曝光出来,如果这样的趋势一直延续,那么何时才是尽头?如果继续下去, 我们并不知道还有哪些社交媒体帐户或网络受到了影响。如果这些泄露事件都是纯粹的巧合,那它们什么时候才会停止?

    关注 柯力士信息安全