音乐社交平台Last.fm网站被黑,4300万用户的密码遭泄漏

发布日期：2016-09-05

近日，数据泄露索引服务公司LeakedSource再次爆料：在2012年3月份，他们曾发现了一起网站数据泄漏事故，即：国外一个以音乐交流为主的社交平台网站Last.fm遭到黑客攻击，其中43570999名用户的密码遭到泄漏。LeakedSource公司在最近提交的一份报告中，详细地介绍了此次事故的情况。

音乐社交平台Last.fm

在数据泄漏发生3个月之后，2012年6月，Last.fm公司首次对此次事故给出了声明：

“现在，我们已经开始着手调查此次数据泄露事故了。调查的切入点便是遭到黑客泄漏的用户密码，以及之前发布在Last.fm上的一些相关信息。为了防止更多用户的信息遭到泄漏，我们要求公司的所有用户应立即修改自己的登录密码。”

直到现在，Last.fm公司仍未披露泄漏数据的总量以及事故的严重程度等重要信息。LeakedSource公司表示，Last.fm公司采用的密码加密方式是MD5不加盐处理。这种密码保存方式无异于直接以明文形式保存，安全性极低。几乎Last.fm公司旗下的每一个网站在保存用户的密码时，都采用了某种类似的Hash散列加密方式。不错，Hash散列确实是一种数据加密方式，但在现在看来，由于缺乏足够的安全性，它已经落伍了。

MD5之所以会落伍，一个很重要的原因便是：在该算法背后，没有强大的数学以及密码学等理论作为技术支撑，来提高其安全性，以致于这种加密算法在面对现代的暴力破解方法时，显得毫无招架之力。黑客很轻松地就能破解用类似方法加密的密码。同时，Last.fm公司在使用MD5算法加密过程中，并没有进行加盐处理，这也是导致数据发生泄漏的一个重要原因。加盐加密(Salting)是在对密码进行Hash处理的过程中，向每一个密码序列中，添加一个作为伪码的n位随机数字字符串(具体长度视密码长度而定)，以加大破解难度，从而提高密码的安全性。而不幸的是，Last.fm并没有采取这一加密步骤。LeakedSource公司指出，其中的很多密码极易遭到黑客的暴力破解。

本周，LeakedSource公司再次向广大网民发出了警告，根据LeakedSourc“如果你是Last.fm网站用户，那么我们要求你应立即修改自己的登录密码，不要抱有任何的侥幸心理，因为下一个受害者很可能就是你!”e公司提供的数据显示，大量Last.fm网站用户最喜欢使用的密码居然是123456。对此，LeakedSource公司安全研究人员表示，“我们实在无法理解这一现象。我想，即使是一名菜鸟级的黑客，想要破解这类密码，也应该是易如反掌吧;况且，在当今这样一个全民重视信息安全的时代，使用如此简单的密码，也是对个人信息安全不负责任的表现。在提交注册密码之前，我们要求用户至少也要使用像类似于LastPass的工具，来生成自己的密码。这样做的目的是，至少能在一定程度上维护数据的安全性，而不是使用自己随意编造的所谓的“密码”。”

音乐社交平台Last.fm网站被黑,4300万用户的密码遭泄漏

数字证书

技术支持

关于沃通

旗下网站