Elesett a Last.fm is: 43 millió felhasználó adatait vitték
A Last.fm 2012-ben értesítette felhasználóit az adatlopásról, de csak most derült ki, hogy 43 millió felhasználó email címéről, jelszaváról és regisztrációs időpontjáról van szó. A cég sózás (salt) nélküli MD5 algoritmust használt, amelynek többségét a LeakedSource két óra alatt visszafejtette.
Nyilvánosságra került a Last.fm zenei közösségi oldaltól 2012-ben ellopott 43 millió felhasználói fiók adata. Az adatbázis tartalmazza többek közt a felhasználóneveket, az email címeket, a jelszavakat, a regisztráció időpontját és egyéb belső adatokat. A közösségi média platform tudott arról, hogy 2012. március 22-én támadás érte, amiről három hónappal később, júniusban értesítette is a felhasználókat. A biztonsági közleményben csak a jelszavak kiszivárgását jelezte, és arra kérte a regisztráltakat, hogy azonnal cseréljék le a belépőkódjukat valami másra. A rekordok pontos tartalma azonban csak most derült ki, és most kerültek nyilvánosságra a feltört fiókok adatai is.
A jelszavakat sózás nélküli MD5-ös hashelt formában tárolta a szolgáltatás, ami olyannyira nem biztonságos, hogy a LeakedSource oldalnak mindössze két órájába telt a 43 570 999 felhasználó 96 százalékának adatát feltörni és a jelszavakat visszafejteni. A Softpedia riporterei már megerősítették saját adataikon keresztül, hogy az adatbázis valós, de bárki ellenőrizheti a LeakedSource-on a saját fiókját.
Az óvatlan jelszóadási szokásokat mutatja, hogy a 41 millió feltört jelszóból 255 000 felhasználó az "123456" kódot alkalmazta, a második helyzést a "password" érte el, harmadik helyre pedig a "lastfm" jelszó került. Az első ötven legnépszerűbb jelszó bőven tartalmaz még a fentiekhez hasonló betű- és számkombinációkat, kedvenc focicsapatokat, együtteseket és hobbi neveket, amelyek iskolapéldái a rossz jelszóadásnak.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
A legkedveltebb jelszavakon kívül a LeakedSource az első ötven leghasználtabb email domaint is közzétette. A 2012-es használati szokásokat tükrözi, hogy több mint 9 millióan hotmailes email címmel regisztráltak, csak ezt követte a Gmail több mint 8 millió felhasználóval, majd harmadik helyen a Yahoo végzett 6,5 millió címmel.
A regisztrációs dátumok alapján pedig a zenei oldal felhasználói számának változásából lehetne grafikont rajzolni. A 2002-ben 3455 fővel indult Last.fm a milliós növekedést először 2006-ban érte el kétmillió új felhasználóval. A regisztrációs kedv 2009-2010-ben tetőzött tíz-tíz millió új zenehallgatóval, majd innentől csökkenés következett az új felhasználók számában. A fokozatos népszerűségvesztést az is mutatja, hogy az Alexa forgalomszámláló rendszere szerint jelenleg a Last.fm az 1765. leglátogatottabb oldal a weben, míg 2012 ben a 779. volt a listában.
A jelszóhasználatra és azok titkosítására ésszerű lett volna odafigyelnie a cégnek a népszerűség és a többmilliós felhasználószám növelés mellett. A Last.fm 2012-ben több hónapos késlekedéssel értesítette a felhasználóit a jelszócsere szükségességéről és akkor sem teljességre törekedve, ekkor közölte, hogy elkezdett másik (nem közölt) eljárást használni az adatok tárolására, és szigorúbb jelszóadást kér számon a felhasználóktól - minimum hat karaktert, számot és speciális karaktert is magában foglalva.
A 2012 óta regisztrált tagoknak érdemes meggyőződni, hogy rajtva vannak-e a listán és megváltoztatták-e a jelszavukat azóta. Az pedig mindenkinek ajánlott, hogy a nagyobb közösségi oldalakon használjanak különböző jelszavakat, elég közben csak a közelmúlt legnagyobb - Dropbox, MySpace, LinkedIn, Tumblr - adatlopásos botrányaira gondolni, amelyeket a Last.fm nem köröz le, de az első tíz helyezett közé került a 43 millió felhasználót érintő adatlopással.
Kétfaktoros autentikációt és jelszókezelőt azonnal