导语:如果你有Taringa(也被称为“拉丁美洲的Reddit”)网站账号,那么请注意,你的账户详细信息可能已经在大规模数据泄漏事件中泄漏出来了,据悉,此次约有超过2800万用户的登录信息受到影响。

如果你有Taringa(也被称为“拉丁美洲的Reddit”)网站账号,那么请注意,你的账户详细信息可能已经在大规模数据泄漏事件中泄漏出来了,据悉,此次约有超过2800万用户的登录信息受到影响。

关于Taringa

cdbdee4a382342f5a15e14797f87b40e_th.png

Taringa是一个来自阿根廷的社交网站,有西班牙语及葡萄牙语两个版本,其重要流量来自拉美国家及西班牙,诞生于2004年。在Taringa社区,用户只需在线注册一个账户就能在社区发帖分享信息,如有趣的照片、网络段子、突发新闻文章等。

超过2800万Taringa用户数据泄漏

近日,漏洞通知网站LeakBase报告称,他们已经获得了一个包含28,722,877个帐户的详细信息的泄漏数据库副本,其中包含Taringa用户的用户名、电子邮件地址以及哈希密码(hashed passwords)。

据悉,该哈希密码使用了一种称为“MD5”的老旧算法,该算法早在2012年前就已经被认为是过时的,所以很容易被破解,也就是说对于黑客而言,这些数据就相当于处于毫无防护的公开状态。

想知道MD5算法到底有多弱吗?LeakBase团队已经在短短几天的时间内成功破解了93.79%(约2700万)的哈希密码。

目前,LeakBase已经与外媒网站The Hacker News共享了近450万Taringa用户的泄漏数据,以帮助验证这份泄漏数据库的真实性。

关于泄漏数据中涉及的电子邮箱地址,我们已经使用其纯文本的密码随机联系了其中几个Taringa用户,他们也已经确认了凭证的真实性。

据悉,此次数据泄漏事件发生在上个月,公司随后已经通过博客发帖通知了客户,并分享了更多有关该事件的详细信息。

帖子写道,

攻击者很可能已经破解了包含用户名、电子邮件地址和加密密码的数据库。来自其他社交网络的电话号码和访问凭证以及Taringa项目的比特币钱包等数据并未遭泄漏。目前,没有具体证据表明攻击者在继续访问Taringa代码!我们的安全团队会继续监测基础设施的异常行为,最大限度降低对用户的不利影响。

为了保护其用户,Taringa目前正在通过电子邮件向其用户发送一个密码重置链接,避免继续使用旧密码访问帐户。

Taringa-Data-Breach-hacking.png

Taringa发言人表示,

我们已经制定了大量的密码重置策略,并将密码从MD5转换为SHA256。我们也已经通过客户支持团队与我们的社区取得了联系。 

泄漏数据分析 

研究人员针对泄漏数据库进行了简单的分析,结果显示,无论经过多少次教训和警告,大多数人仍然在继续使用简单的密码来保护他们最敏感的数据。

如下图所示,LeakBase设法破解了28,722,877个密码中的26,939,351个,其中超过1500万个属于独特密码。绝大多数破解的密码是只有字母(30.81%)或小写字母(29.89%),不包含任何特殊字符或符号。

 Taringa-data-breach-2.png

下面我们列出了Taringa用户选择的最受欢迎/常用的密码,其中还包括一些最差的密码,如123456789、123456、1234567890、000000、12345以及12345678等。

 Taringa-data-breach-3.png

分析发现,最受欢迎的密码长度为6个字符,紧接着是8个字符、9个字符以及10个字符。密码长度越长,所占比例也随之大幅下降。

但是,选择弱密码是否完全是Taringa用户的责任呢?不完全是!这也是Taringa公司的责任,因为他们未对其用户实施强力有效的密码策略,而是放任用户使用弱密码进行注册。

数据泄漏后,该公司将责任归咎于最终用户薄弱的密码防护意识,但是他们却忘了为其客户提供一个更强大的密码策略。

截至目前为止,我们尚不清楚此次针对Taringa的攻击事件幕后黑手是谁,以及他们是如何入侵到该公司服务器中的。

与此同时,在另一份新闻中,我们报道了一位不知名的黑客在一个在线网站Doxagram上出售了超过600万个名人Instagram账户的邮件地址以及电话号码等个人信息,其中包括贾斯丁·比伯以及泰勒·斯威夫特等。 

如何防止数据泄漏 

当然,如果你属于潜在受害者行列,强烈建议你立即更改账号密码。此外,更改与Taringa账号密码相同的其他在线账户的密码,避免撞库攻击。

需要注意的是,即便是网站允许你创建一个密码较弱的账号,你也应该尽可能地选择一个较为复杂的密码。如果你觉得这样难以记忆,建议你可以选择使用可靠的密码管理器。

此外,请勿点击电子邮件中任何可疑的链接或附件,并在没有任何验证资源的情况下,提供有关个人或财务方面的信息。

源链接

Hacking more

...