c.m.g
31-05-2016, 10:35
martedì 31 maggio 2016
Da MySpace e Tumblr, il numero di utenti e servizi coinvolti nelle fughe di dati si moltiplica a centinaia di milioni di record alla volta, eventi che secondo i ricercatori potrebbero essere correlati
Roma - Dopo le password compromesse di LinkedIn (http://punto-informatico.it/4320415/PI/News/linkedin-password-dal-passato.aspx), un nuovo archivio di account violati arriva dal passato dei social network per tormentare gli utenti. O almeno quelli che qualche anno fa usavano ancora MySpace, con 427 milioni di "record utente" individuali messi in vendita nell'underground telematico e già indicizzati dal motore di ricerca di LeakedSource (http://www.leakedsource.com/blog/myspace).
LeakedSource ha ottenuto i dati da un utente anonimo, [email protected], e ha potuto verificare che 360 milioni dei suddetti record fanno riferimento a utenti specifici con nome account, email, password e tutto quanto: il resto sono dati riferiti a bot o altro.
Le password dei 360 milioni di account compromessi erano cifrate con SHA1 ma non erano "salted", ragion per cui LeakedSource ha potuto violarle con attacchi a forza bruta; la disarmante semplicità (http://news.softpedia.com/news/possible-myspace-data-breach-exposes-passwords-for-427-million-users-504583.shtml) di alcune password usate di frequente dagli utenti come "password1", "123456", "myspace1" e "fuckyou1" ha ovviamente facilitato di molto l'operazione.La megabreccia negli account di MySpace si unisce a quella di LinkedIn e anche di Tumblr, con il social network che conferma di aver subito un attacco nel 2013 (https://staff.tumblr.com/post/144263069415/we-recently-learned-that-a-third-party-had) ma di non aver osservato violazioni degli account conseguenti alla breccia. In questo caso gli utenti coinvolti ammontano a 65 milioni (https://motherboard.vice.com/read/hackers-stole-68-million-passwords-from-tumblr-new-analysis-reveals), e le password erano sufficientemente blindate (con hash digitale e "salt" con l'aggiunta byte casuali) da non essere compromesse con facilità.
Salt o non salt, spiega l'analista di sicurezza Troy Hunt (http://punto-informatico.it/cerca.aspx?s=troy+hunt&t=4), la recente scia di "mega-brecce" nei database degli utenti dei social network riguarda sempre informazioni "storiche" vecchie di almeno 3 anni: facile ipotizzare che dietro ogni caso, e ogni collezione, ci sia la stessa mano, dice Hunt (https://www.troyhunt.com/the-emergence-of-historical-mega-breaches/).
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/4322226/PI/News/password-grandi-archivi-vendita.aspx)
Da MySpace e Tumblr, il numero di utenti e servizi coinvolti nelle fughe di dati si moltiplica a centinaia di milioni di record alla volta, eventi che secondo i ricercatori potrebbero essere correlati
Roma - Dopo le password compromesse di LinkedIn (http://punto-informatico.it/4320415/PI/News/linkedin-password-dal-passato.aspx), un nuovo archivio di account violati arriva dal passato dei social network per tormentare gli utenti. O almeno quelli che qualche anno fa usavano ancora MySpace, con 427 milioni di "record utente" individuali messi in vendita nell'underground telematico e già indicizzati dal motore di ricerca di LeakedSource (http://www.leakedsource.com/blog/myspace).
LeakedSource ha ottenuto i dati da un utente anonimo, [email protected], e ha potuto verificare che 360 milioni dei suddetti record fanno riferimento a utenti specifici con nome account, email, password e tutto quanto: il resto sono dati riferiti a bot o altro.
Le password dei 360 milioni di account compromessi erano cifrate con SHA1 ma non erano "salted", ragion per cui LeakedSource ha potuto violarle con attacchi a forza bruta; la disarmante semplicità (http://news.softpedia.com/news/possible-myspace-data-breach-exposes-passwords-for-427-million-users-504583.shtml) di alcune password usate di frequente dagli utenti come "password1", "123456", "myspace1" e "fuckyou1" ha ovviamente facilitato di molto l'operazione.La megabreccia negli account di MySpace si unisce a quella di LinkedIn e anche di Tumblr, con il social network che conferma di aver subito un attacco nel 2013 (https://staff.tumblr.com/post/144263069415/we-recently-learned-that-a-third-party-had) ma di non aver osservato violazioni degli account conseguenti alla breccia. In questo caso gli utenti coinvolti ammontano a 65 milioni (https://motherboard.vice.com/read/hackers-stole-68-million-passwords-from-tumblr-new-analysis-reveals), e le password erano sufficientemente blindate (con hash digitale e "salt" con l'aggiunta byte casuali) da non essere compromesse con facilità.
Salt o non salt, spiega l'analista di sicurezza Troy Hunt (http://punto-informatico.it/cerca.aspx?s=troy+hunt&t=4), la recente scia di "mega-brecce" nei database degli utenti dei social network riguarda sempre informazioni "storiche" vecchie di almeno 3 anni: facile ipotizzare che dietro ogni caso, e ogni collezione, ci sia la stessa mano, dice Hunt (https://www.troyhunt.com/the-emergence-of-historical-mega-breaches/).
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/4322226/PI/News/password-grandi-archivi-vendita.aspx)