65 millones de contraseñas robadas y Tumblr para la venta

El 12 de mayo, Tumblr reveló que acababa de descubrir una brecha de 2.013 direcciones de correo electrónico de usuario y contraseñas.

Detalles eran escasos, y se dice que la empresa se negaron a poner un número en las cuentas afectadas.

Ahora, sabemos que: el conjunto de datos incluyó a más de 65 millones de cuentas, a la venta en la web oscura, como se confirma por un investigador de seguridad independiente.

Troy Hunt, que mantiene el portal de la conciencia de violación de datos hace que estoy Pwned , envió el lunes a cabo una explosión de correo electrónico a los usuarios de Tumblr afectadas que habían firmado para recibir notificaciones cuando sus cuentas se pwned (incluido yo).

Según el aviso, el número total de cuentas comprometidas es 65469298.

Eso lo pone en el tercer lugar en la lista de las mayores violaciones de datos se haya registrado en ¿He sido pwned, después de los 164 millones de contraseñas de LinkedIn se encuentran en venta en la web oscura a principios de este mes después de una violación de 2012 y los 152 millones de cuentas de 2013 Adobe incumplimiento .

Esos son grandes fugas, pero hay uno más grande que todavía tiene que ser incluida en la lista de los principales incumplimientos hace que estoy de pwned: 360 millones de cuentas de un pasado no declarada, incumplimiento de MySpace.

Lo que está provocando esta serie de conjuntos de datos que salen de las infracciones años de edad?

Como dijo Hunt en un mensaje el lunes, estamos viendo algunos puntos en común:

  • La edad: la edad de la más reciente violación sigue siendo más de 3 años. No sabemos la edad de la violación de MySpace, pero MySpace no ha sido ampliamente utilizado durante años, por lo que el incumplimiento también es probable que se remonta desde hace tiempo
  • El tamaño: estas cuatro brechas están en el top 5 de los más grandes ¿He sido Pwned ha visto nunca. Una vez que los datos MySpace aparece, estos incidentes 4 representarán dos terceras partes de todos los datos en el sistema
  • La revelan: todos los conjuntos de datos han apareció en mayo
  • El proveedor: todos los cuatro conjuntos de datos se han enumerado para la venta en la web oscura por la misma cuenta, "peace_of_mind," que es conocido simplemente como "Paz".

El hecho de que la paz les ofreció en venta no significa que él es el único responsable de cualquiera de las infracciones iniciales. Tal vez estaban sentados alrededor de los años, pero tal vez que han sido pasaban de mano ilícito de mano ilícita de años.

Sin embargo, como se señaló Hunt, si todo esto se suma a una tendencia, es muy posible que seguirá. Si es así, podemos ceñir nuestros lomos como más enorme superficie de infracciones y para las versiones más comunes de datos.

Tumblr dice que se parece a los inicios de sesión no han sido utilizados por quien los atrapó:

Recientemente nos enteramos de que un tercero había obtenido acceso a un conjunto de direcciones de correo electrónico de usuarios de Tumblr con contraseñas saladas y hash a partir de principios de 2013, antes de la adquisición de Tumblr por Yahoo. Tan pronto como nos dimos cuenta de esto, nuestro equipo de seguridad investigado a fondo el asunto.

Nuestro análisis nos da ninguna razón para creer que esta información se utiliza para acceder a las cuentas de Tumblr. Como medida de precaución, los usuarios de Tumblr sin embargo, vamos a ser requieren afectada para establecer una nueva contraseña.

Las contraseñas que se almacenan de forma segura debe ser salado y hash (que tienen un artículo detallado para los techies y una explicación clara Inglés en nuestro artículo sobre la reciente violación de MySpace), por lo que hay un poco de un rayo de luz aquí.

La sal no es una clave criptográfica secreta – de hecho, se almacena normalmente junto con el hash de la contraseña final – pero en cambio sirve para asegurar que si dos usuarios elegir la misma contraseña, no terminan con el mismo hash.

Salazón, por tanto, asegura que las listas de hash de craqueo no pueden ser pre-calculados para todos los usuarios de antemano: que tendría que comprobar la validez de calcular una lista de hash para cada posible combinación con sal cada posible palabra del diccionario.

Al igual que con cualquier violación de datos, los afectados deben dirigirse a Tumblr para cambiar sus contraseñas de inmediato.

Por último, si usted ha utilizado la misma contraseña en otros lugares (que por supuesto no debería – y aquí es por qué es importante ), usted debe dirigir a esos otros sitios y cambiar allí – con ayuda de una contraseña única para cada sitio.