­　　PingWest / 盛威

­　　上周黑客在暗網(wǎng)相繼泄漏了 Dropbox 和 Last.fm 兩家公司的上億條賬號密碼，暴露了互聯(lián)網(wǎng)公司在保護用戶信息上的嚴重缺陷。但現(xiàn)在這場“泄密事件”仍沒有停止的跡象，最新的消息是黑客團隊泄漏了色情網(wǎng)站 Brazzers 近 80 萬條用戶賬號密碼。

­　　這個被黑客公布在暗網(wǎng)上的數(shù)據(jù)庫包含條 928072 個賬號的信息，其中包括 790724 個不同的電子郵箱地址以及許多用戶名和明文密碼。

­　　在接受The Next Web采訪時，Brazzers的公關(guān)經(jīng)理Matt Stevens說：“這個數(shù)據(jù)庫最早是于 2012 在我們的 Brazzers 論壇上被泄漏的，但這個論壇由一個第三方機構(gòu)管理?！?/p>

­　　Stevens說這個“第三方機構(gòu)”使用的 vBulletin 管理軟件上存在的漏洞是數(shù)據(jù)庫泄漏的原因。而為了讓用戶使用方便， Brazzers 網(wǎng)站和 Brazzers 論壇之間的賬號是共享的。

­　　上周一，Dropbox披露該公司于 2012 年泄漏的 6800 萬條用戶的賬號密碼已經(jīng)流出至暗網(wǎng)中，當時的數(shù)據(jù)泄漏源于Dropbox的一次“安全事故”。

­　　2012 年 Dropbox 官方博客對此事件的解釋是：“丟失的密碼被用于訪問 Dropbox 的員工賬號，其中包括帶用戶電子郵件地址的項目文件。我們認為，這一非法訪問導(dǎo)致了垃圾郵件的出現(xiàn)。我們對此感到抱歉，并采取了額外的控制措施，確保這種事故不會再次發(fā)生?！?/p>

­　　也就是說 Dropbox 一直認為被泄漏的只有用戶的電子郵箱地址，所以他們才會擔(dān)心用戶受到垃圾郵件的侵染。但實際情況更加可怕，那就是這 6800 萬用戶的郵箱地址和密碼都被泄漏了。

­　　但令人欣慰的是，這些被泄漏的密碼是已經(jīng)被加密過的暗文密碼，而不是用戶直接輸入的明文密碼。在 2012 年信息被泄漏之前，Dropbox 曾將自己的加密算法從 SHA-1 升級為 bcrypt，此外這些密碼還采用了隨機數(shù)據(jù)串去強化加密的 salt 技術(shù)。也就是說即使黑客拿到了這些密碼，他們也只能看到一串沒有意義的字符。

­　　而在上周五，黑客又將 2012 年從音樂服務(wù)網(wǎng)站 Last.fm 上竊取的 4357 萬條用戶密碼公布在了 LeakedSource 網(wǎng)站上。這個數(shù)據(jù)庫是在 2012 年 5 月 22 日被泄漏的，當時 Last.fm 要求用戶重置自己的密碼。

­　　LeakedSource 表示，他們花了 2 小時便破解了這個數(shù)據(jù)庫里 96％ 的密碼，這是因為 Last.fm 用戶的密碼并沒有用 salt 技術(shù)加強加密。

­　　在 2012 年 6 月 7 日，也就是密碼被泄漏之后，Last.fm 的研發(fā)人員 Russ Garrett 就曾在 Twitter 上承認該公司用戶密碼使用的是 MD5 加密方法，但這種方法早在 2012 年之前就被認定是一種弱加密方法，目前已經(jīng)有很多網(wǎng)站提供了 MD5 加密的一鍵破解工具。

­　　根據(jù) LeakedSource 公布的信息，這批被泄漏的數(shù)據(jù)包括用戶的電子郵箱地址、用戶名、密碼、注冊日期和一些 Last.fm 內(nèi)部的服務(wù)數(shù)據(jù)。

­　　在這些被泄漏的密碼中，諸如 123456、password、qwerty、abc123、music 這樣的低級別密碼也占據(jù)了相當大一部分，可見用戶對信息安全有多么不重視。

­　　今年 5 月，職業(yè)社交網(wǎng)站 LinkedIn 也曾許宣布有 1 億多條用戶的電子郵箱和密碼被泄漏至暗網(wǎng)，這些數(shù)據(jù)同樣來自 2012 年的一場黑客攻擊。

­　　2012 年 6 月，一個名叫“dwdm”的黑客在一家俄羅斯論壇上公布了 650 萬條 LinkedIn 的用戶加密密碼，隨后 LinkedIn 證實有 1 億用戶的賬號信息被泄漏。

­　　直到最近，一個名為“Peace”的黑客在暗網(wǎng)上以 5 個比特幣（約 2200 美元）的價格公開出售這個數(shù)據(jù)庫。經(jīng)驗證，這個數(shù)據(jù)庫里包含了 1.17 億LinkedIn 用戶的賬號密碼，而很多用戶目前仍在使用這些密碼。

­　　有趣的是，2012 年 Dropbox 的用戶密碼被泄漏的原因就是黑客利用了該公司開發(fā)人員的 LinkedIn 賬號信息登錄了 Dropbox 的后臺管理系統(tǒng)。