LeakedSource报道,来自超过1100个网站和社区的数百万用户身份凭据被盗,相关网站包括techsupportforum.com、autoguide.com、petsguide.com、motorcycle.com。这些网站的母公司VerticalScope在今年二月份曾遭到一次攻击,但此事并未公开报道。
VerticalScope在公司网站上发布的安全通告中含糊地确认了此次事件,并描述了其将采取更严格的密码规则的详细计划:
我们近期了解到,许多在线论坛社区账户的用户名、用户ID、加密密码和电子邮件账户可能存在风险,其中有一些由VercicalScope拥有并运行。为了确保安全,以下是我们为了更好地保护各个网站上用户采取改动。
ZDNet发布的一篇报告披露了更多的信息,文中解释了许多受影响网站似乎在使用过时的VBulletin论坛软件、而且并没有配置基本的HTTPS防止黑客作为中间人嗅探用户登录密码的原因。
进一步,如果我们相信LeakedSource给出的信息,遭泄露记录中的绝大多数(超过4000万)使用的是MD5哈希算法存储密码。该算法可能无法面对密码破解给出足够的保护。
如果你是VerticalScope下属某个知名论坛的用户,这将意味着什么?
显然,你应该尽快更换密码。并确保你没有在互联网上的任何其它地方使用泄露的原密码。
毕竟,如果你在petsguide.com上的账户被盗,你可能不会在意,但如果黑客使用同样的信息攻破了你的Gmail账户,你的感觉可能完全不同。
不过这次数据泄露也提出了另一个有趣的问题:为什么有些人在不约而同地使用着一串很奇怪的密码?
LeakedSource对遭泄露数据进行的分析表明,超过9.1万人似乎选择使用密码18atcskd2w,这让这串密码成了第二流行的密码。当然,还有两个更加显而易见,也令人抑郁的密码:123456和password。
但是,真的会有这么多人不约而同地选择像是18atcskd2w、3rjs1la7qe、q0tsrbv488这样看上去完全是随机的密码么?
当然,答案是不。人们没有选择那些密码。
是的,这些登录凭据能在失窃的数据中找到,而且使用这些密码的人数很多,但选择它们的不是人类,而是一台电脑。
人类大脑显然可能选择像123456、password、qwerty这样的密码。但91103个人同时选择18atcskd2w这样的密码的事显然不可能存在。
相反,真正发生的事情是,这些账户是机器创建的,也许其目的是在论坛上发送垃圾信息。
如果用户论坛没有采取很强的措施防止机器注册,那么就可能有人写出程序,同时创建大量账户,用于传播垃圾信息或者恶意链接。
游手好闲的人有可能为自己的僵尸账户设置不同密码,但这显然需要更多的编程工作,而且也可能让攻击者其后的工作变得复杂起来,因为他们需要分别记住不同僵尸账户的密码。
总之,对于骚扰者而言,创建成百上千拥有相同密码的账户更加方便,特别是当网站并没有意识到存在可疑行为的时候。
当然,对于那些账户信息因为这次事件而泄露的人而言,这些都并不重要。当前,你可能并不会在意相关网站上的僵尸账户,而更关心你自己的安全。
因此,如果你认为自己将受到威胁,请更改这些网站上的密码和你在其它地方使用的相同密码。
很多人并不喜欢定期更改密码(VerticalScope宣布将采取类似政策),但在这个案例中,你的选择并不多:密码已经泄露,因此你真的需要换换它们了。
使用优秀的密码管理器可以帮助你完成这一过程。密码管理器可以为你生成真随机密码,并帮你记住它们,进而减少你在未来复用密码或使用容易猜测的弱密码的可能性。本文转自d1net(转载)