:

Szerző: Habók Lilla

2016. szeptember 6. 10:30

Elesett a Last.fm is: 43 millió felhasználó adatait vitték

A Last.fm 2012-ben értesítette felhasználóit az adatlopásról, de csak most derült ki, hogy 43 millió felhasználó email címéről, jelszaváról és regisztrációs időpontjáról van szó. A cég sózás (salt) nélküli MD5 algoritmust használt, amelynek többségét a LeakedSource két óra alatt visszafejtette.

Nyilvánosságra került a Last.fm zenei közösségi oldaltól 2012-ben ellopott 43 millió felhasználói fiók adata. Az adatbázis tartalmazza többek közt a felhasználóneveket, az email címeket, a jelszavakat, a regisztráció időpontját és egyéb belső adatokat. A közösségi média platform tudott arról, hogy 2012. március 22-én támadás érte, amiről három hónappal később, júniusban értesítette is a felhasználókat. A biztonsági közleményben csak a jelszavak kiszivárgását jelezte, és arra kérte a regisztráltakat, hogy azonnal cseréljék le a belépőkódjukat valami másra. A rekordok pontos tartalma azonban csak most derült ki, és most kerültek nyilvánosságra a feltört fiókok adatai is.

A jelszavakat sózás nélküli MD5-ös hashelt formában tárolta a szolgáltatás, ami olyannyira nem biztonságos, hogy a LeakedSource oldalnak mindössze két órájába telt a 43 570 999 felhasználó 96 százalékának adatát feltörni és a jelszavakat visszafejteni. A Softpedia riporterei már megerősítették saját adataikon keresztül, hogy az adatbázis valós, de bárki ellenőrizheti a LeakedSource-on a saját fiókját.

Az óvatlan jelszóadási szokásokat mutatja, hogy a 41 millió feltört jelszóból 255 000 felhasználó az "123456" kódot alkalmazta, a második helyzést a "password" érte el, harmadik helyre pedig a "lastfm" jelszó került. Az első ötven legnépszerűbb jelszó bőven tartalmaz még a fentiekhez hasonló betű- és számkombinációkat, kedvenc focicsapatokat, együtteseket és hobbi neveket, amelyek iskolapéldái a rossz jelszóadásnak.

A Gitlab mint DevSecOps platform (x)

Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A legkedveltebb jelszavakon kívül a LeakedSource az első ötven leghasználtabb email domaint is közzétette. A 2012-es használati szokásokat tükrözi, hogy több mint 9 millióan hotmailes email címmel regisztráltak, csak ezt követte a Gmail több mint 8 millió felhasználóval, majd harmadik helyen a Yahoo végzett 6,5 millió címmel.

A regisztrációs dátumok alapján pedig a zenei oldal felhasználói számának változásából lehetne grafikont rajzolni. A 2002-ben 3455 fővel indult Last.fm a milliós növekedést először 2006-ban érte el kétmillió új felhasználóval. A regisztrációs kedv 2009-2010-ben tetőzött tíz-tíz millió új zenehallgatóval, majd innentől csökkenés következett az új felhasználók számában. A fokozatos népszerűségvesztést az is mutatja, hogy az Alexa forgalomszámláló rendszere szerint jelenleg a Last.fm az 1765. leglátogatottabb oldal a weben, míg 2012 ben a 779. volt a listában.

A jelszóhasználatra és azok titkosítására ésszerű lett volna odafigyelnie a cégnek a népszerűség és a többmilliós felhasználószám növelés mellett. A Last.fm 2012-ben több hónapos késlekedéssel értesítette a felhasználóit a jelszócsere szükségességéről és akkor sem teljességre törekedve, ekkor közölte, hogy elkezdett másik (nem közölt) eljárást használni az adatok tárolására, és szigorúbb jelszóadást kér számon a felhasználóktól - minimum hat karaktert, számot és speciális karaktert is magában foglalva.

A 2012 óta regisztrált tagoknak érdemes meggyőződni, hogy rajtva vannak-e a listán és megváltoztatták-e a jelszavukat azóta. Az pedig mindenkinek ajánlott, hogy a nagyobb közösségi oldalakon használjanak különböző jelszavakat, elég közben csak a közelmúlt legnagyobb - Dropbox, MySpace, LinkedIn, Tumblr - adatlopásos botrányaira gondolni, amelyeket a Last.fm nem köröz le, de az első tíz helyezett közé került a 43 millió felhasználót érintő adatlopással.

 

Kétfaktoros autentikációt és jelszókezelőt azonnal

A legrosszabb dolog, amit tehetünk, az a jelszavak újrahasznosítása különböző online szolgáltatások között. Ez lehetővé teszi, hogy egyik szolgáltatás feltörésével dominószerűen a többihez is hozzáférést nyerjenek a támadók. Ezért a HWSW minden esetben a kétfaktoros autentikáció és jelszókezelő használatát javasolja, sürgősen. Utóbbi arra megoldás, hogy minden szolgáltatásban egyedi, erős jelszót tudjunk használni anélkül, hogy azt minden esetben fejben kellene tartani. Erre vannak már jó megoldások, amelyek mobileszközön is működnek és megfizethetőek (például a LastPass).

 

 

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek. November 8-ig early bird kedvezménnyel!

a címlapról