Новая утечка: В сети опубликованы данные 43 млн аккаунтов Last.Fm

c1afae6c66fe4ddb9d2d1bf33bd96a58.jpg

На сайте LeakedSource опубликована база данных, содержащая данные более 43,5 млн аккаунтов пользователей стримингового сервиса Last.Fm. Как сообщается, данные были украдены еще в 2012 году — тогда сервис подвергся хакерской атаке.

В чем проблема


В 2012 году представители Last.Fm признали факт взлома, однако сделали это не сразу, и до сих пор был непонятен масштаб утечки. К слову, в том же 2012 году были похищены данные пользователей Dropbox, однако информации о том, связаны ли эти атаки, пока нет. Ресурс LeakedSource, в распоряжении которого оказалась копия украденной базы данных с паролями, указывает, что они хранились в виде MD5-хэшей без соли.

Используемый алгоритм не обеспечивает серьезной защиты данных в случае взлома — на взлом хэшей и восстановление 96% паролей у предсавителей LeakedSource ушло всего два часа.

Отмечают представители ресурса и тот факт, что пользователи Last.Fm используют крайне слабые пароли:

  • 255 319 человек использовали в качестве пароля строку 123456;
  • 92 652 пользователя в качестве пароля установили слово 'password';
  • Почти 67 000 выбрали пароль 'lastfm';
  • Около 64,000 пользователей остановились на варианте 123456789;
  • Еще 46 000 человек выбрали пароль 'qwerty';
  • Почти 36 000 человек использовали пароль 'abc123'.

Что делать пользователям


Данные пользователей Last.Fm были добавлены в базу ресурса LeakedSource — чтобы узнать, была ли «слита» их информация, пользователи могут воспользоваться поиском на главной странице сайта. Даже если по данным этого ресурса учетная запись не скомпрометирована, имеет смысл изменить пароль на Last.Fm. Если же этот пароль используется и на других ресурсах, то поменять учетные данные следует и там.

Взломы, подобные описанному, в последнее время случаются регулярно. Last.Fm стал еще одним крупным сервисом, попавшим в компанию к LinkedIn, MySpace, «ВКонтакте», Tumblr и Dropbox, данные пользователей которых также «утекали» в сеть.

Комментарии (1)

  • 5 сентября 2016 в 12:14

    0

    Какие ж дико желтые заголовки.

    Во-первых, не «опубликованы», а по сути «продаются». LeakedSource не то, чтобы сильно белый и пушистый — просто вместо того, чтобы (пере)продавать всю базу целиком, они продают ее по кусочкам, по подписке, за эти свои 2 доллара в день.

    Во-вторых, продаются они с момента хищения, то есть с этого самого 2012 года. Все, кому было нужно, уже купил и использовал. А год-полтора назад она уже лежит на всяких полузакрытых форумах в более-менее доступном виде и без дорогой покупки.

    В-третьих, если уж говорить о всяких ресурсах, которые якобы «несут благую весть в массы» и предлагают проверить, есть ли пароль в слитом дампе, то https://lastpass.com/lastfm/ существует с этого самого 2012 года.

© Habrahabr.ru