Hacker Menjual 65 Juta Password Dari Pelanggaran Data Tumblr
Awal bulan ini Tumblr mengungkapkan bahwa pihak ketiga telah memperoleh akses ke serangkaian alamat e-mail dan kata sandi sejak awal 2013, sebelum diakuisisi oleh Yahoo.
Pada saat itu, Tumblr tidak mengungkapkan jumlah pengguna yang terkena dampak, namun kenyataannya, sekitar 65.469.298 kredensial akun bocor dalam pelanggaran data Tumblr 2013, menurut pakar keamanan Troy Hunt, yang mengelola situs tersebut. Saya telah dipagari.
"Segera setelah kami menyadari hal ini, tim keamanan kami menyelidiki secara menyeluruh masalah ini. Analisis kami memberi kami alasan untuk percaya bahwa informasi ini digunakan untuk mengakses akun Tumblr," baca blog Tumblr.
Seorang Hacker, yang sedang melakukan "peace_of_mind," menjual data Tumblr untuk 0.4255 Bitcoin ($ 225) di pasar gelap The Real Deal.
Data yang dikompromikan mencakup 65.469.298 alamat e-mail yang unik dan "kata sandi asin & hash."
Peretas yang sama juga menjual data akun login yang dikompromikan dari Fling, LinkedIn, dan MySpace. Aku bertanya-tanya apakah ia memiliki lebih banyak data set belum menjual ...
Pada 12 Mei, Tumblr mengungkapkan bahwa mereka baru saja mengetahui tentang pelanggaran data tahun 2013 yang mempengaruhi "kumpulan" alamat email dan kata sandi pengguna, tetapi perusahaan menolak untuk mengungkapkan berapa banyak pengguna yang terpengaruh.
Ternyata, angka itu adalah 65 juta, menurut analisis independen dari data.
Troy Hunt, seorang peneliti keamanan yang mengelola portal kesadaran pelanggaran data Have I Been Pwned, baru-baru ini memperoleh salinan set data yang dicuri.
Hunt mengatakan kepada Motherboard bahwa data mengandung 65.469.298 email dan kata sandi unik. (Tumblr tidak segera menanggapi permintaan untuk mengkonfirmasi gambarnya).
Kata sandi, bagaimanapun, tidak dalam plaintext, tetapi "hashed," sebuah proses yang mengubah kata sandi yang sebenarnya menjadi string angka yang berbeda. Perusahaan juga menambahkan serangkaian byte acak di akhir kata sandi sebelum hashing mereka, atau "asin" mereka, seperti kata Tumblr ketika mengungkapkan pelanggaran tersebut. Perusahaan, bagaimanapun, tidak mengatakan persis apa algoritma itu digunakan untuk hash password.
Sejak pengumuman Tumblr, data yang diretas tampaknya telah beredar di internet bawah tanah. Seorang peretas yang dikenal sebagai Perdamaian, yang juga mengklaim memiliki data dan menjualnya di pasar darknet Real Deal, mengatakan Tumblr menggunakan SHA1 untuk menghapus kata sandi. Mengingat itu juga menggunakan garam, mereka sangat sulit untuk diretas oleh peretas.
Itu sebabnya, kata Peace, data itu pada dasarnya hanya daftar email, dan dia hanya bisa menjualnya seharga $ 150.
Bagaimanapun juga, mengingat usia pelanggaran dan praktik buruk yang digunakan saat itu di situs web, cukup adil untuk mengasumsikan bahwa setengah dari kata sandi dapat di-crack, menurut Hunt.
Pelanggaran data ini sekarang terdaftar di Have I Been Pwned sebagai yang terbesar ketiga, setelah peretasan dari 164 juta akun LinkedIn dan pelanggaran dari 152 juta akun Adobe. Anda dapat memeriksa di sana untuk mencari tahu apakah Anda adalah korban, meskipun Anda seharusnya telah diberitahu oleh Tumblr ketika perusahaan memaksa pengguna untuk mereset kata sandi setelah mengumumkan pelanggaran.
Cara yang bagus untuk memulai minggu ini. / CC MantasMay 30, 2016
Yang menarik dari insiden ini adalah bahwa ini datang bersamaan dengan pelanggaran data besar-besaran yang baru-baru ini diungkapkan, tetapi sudah ada sejak beberapa tahun yang lalu.
"Data ini terbengkalai (atau setidaknya keluar dari pandangan publik) untuk jangka waktu yang lama," tulis Hunt dalam posting blog pada hari Senin.
IKLAN
Sejak data Tumblr ditemukan, pelanggaran bertahun-tahun di LinkedIn dan MySpace juga muncul dalam beberapa minggu terakhir. Apakah akan ada lebih banyak, itu tebakan siapa pun. Tetapi ketika kita perlahan-lahan belajar, semua orang diretas, meskipun terkadang kita tidak tahu selama bertahun-tahun.
"Jika ini memang tren, di mana itu berakhir? Apa lagi yang ada di toko yang belum kita lihat?" Hunt menulis. "Dan dalam hal ini, bahkan jika peristiwa-peristiwa ini tidak semuanya berkorelasi dengan sumber yang sama dan kita hanya melihat waktu rilis kebetulan, berapa banyak lagi yang ada di kategori 'mega' [pelanggaran] yang hanya duduk di sana di cengkeraman berbagai pihak yang tidak dikenal? "
Koreksi: Versi sebelumnya dari cerita dan judul ini mengatakan korban pelanggaran menurut Hunt adalah 68 juta, mereka sebenarnya 65.
0 Response to "Hacker Menjual 65 Juta Password Dari Pelanggaran Data Tumblr"
Post a Comment