Только эксперты и компания LinkedIn разобрались с утечкой данных 117 млн пользователей, как на черном рынке появились пароли миллионов пользователей MySpaсe и Tumblr. Базы, содержащие 427 млн паролей от MySpace и 65 млн паролей от Tumblr продает тот же хакер, который ранее занимался распространением базы LinkedIn.

Уже есть подтверждения того, что информация подлинная.

MySpaсe

В минувшую пятницу, 27 мая 2016 года, операторы агрегатора утечек LeakedSource сообщили, что в их распоряжении оказался огромный дамп информации (email-адреса и пароли) пользователей MySpace. Информацию выставил на продажу хакер, известный под псевдонимом Peace_of_mind (или просто Peace). На подпольной торговой площадке The Real Deal он пишет, что в его распоряжении имеется более 360 млн email-адресов и паролей, которые он готов продать за 6 биткоинов (примерно $2,800). Когда данная информация была похищена, пока неясно. Напомню, что недавний слив паролей LinkedIn являлся результатом взлома 2012 года, сообщает xakep.ru.

Ни сам Peace, ни представители LeakedSource не стали предоставлять прессе тестовый образец базы для изучения. При этом операторы LeakedSource пишут, что провели собственный анализ и выяснили, что в базе содержатся 427 484 128 паролей и 360 213 024 почтовых адреса. Для 111 341 258 аккаунтов также имеется имя пользователя, а для 68 493 651 аккаунта есть также вторичный пароль (при этом основного пароля может не быть).

Почти все пароли поставляются без соли, это хеши SHA1, взломать которые в наши дни не составляет труда. Операторы LeakedSource заявляют, что взломают 98-99% паролей до конца текущего месяца (то есть за несколько дней).

Происхождение базы остается загадкой и для самой администрации LeakedSource, с которой дампом поделился некий доброжелатель под псевдонимом Tessa88.

«Такова природа информации: трое могут хранить секрет, если двое из них мертвы», — говорят операторы LeakedSource. — «Как только информацию перепродали несколько раз, рано или поздно она попадёт в руки к кому-то, кто не умеет хранить тайны, после чего данные начнут распространяться так же, как разрастаются ветки дерева».

LeakedSource уже опубликовали 20 худших паролей и перечень самых часто встречающихся в базе почтовых доменов.

Tumblr

Еще одно сообщение о крупной утечке информации пришло от Троя Ханта (Troy Hunt), основателя агрегатора утечек Have I Been Pwned?

12 мая 2016 года разработчики Tumblr сообщали, что им стало известно о взломе, который произошел еще в 2013 году. Тогда компания уверяла, что атака затронула малое число пользователей. После проведения внутреннего расследования для всех пострадавших был инициирован сброс паролей.

Трой Хант пишет, что всё далеко не так радужно. На самом деле утечка данных касается 65 млн пользователей сервиса: в распоряжении исследователя оказались 65 469 298 уникальных сочетаний email-пароль. Хант сумел проследить утечку до конкретного магазина в даркнете: The Real Deal. Данные по цене 0,4255 биткоина (около $225) продает всё тот же Peace_of_mind.

В этом случае компания не сообщала, каким алгоритмом зашифрованы хеши, но известно, что пароли представлены не в виде простого текста, они зашифрованы и «посолены». Peace_of_mind подтвердил эту информацию, сообщив, что Tumblr использовал алгоритм SHA1, но из-за соли взломать пароли не так-то просто. Именно этим обусловлена низкая стоимость базы. Хакер пишет, что, по сути, это просто список email-адресов.