Η μαζική κλίμακα μιας παραβίασης δεδομένων που επηρέασε την πλατφόρμα κοινωνικών ιστολογίων Tumblr αποκαλύφθηκε για πρώτη φορά.
Η υπηρεσία που ανήκει στο Yahoo παραδέχτηκε ότι είχε παραβιαστεί το 2013, αλλά αρνήθηκε να αποκαλύψει πόσους λογαριασμούς είχαν επηρεαστεί. Σύμφωνα με τον εμπειρογνώμονα ασφαλείας Troy Hunt, οι χάκερ διέφυγαν με περίπου 65 εκατομμύρια κωδικούς πρόσβασης Tumblr συνολικά, καθιστώντας την την τρίτη μεγαλύτερη παραβίαση δεδομένων όλων των εποχών.
Ακόμα πιο συναρπαστικό, ωστόσο, είναι η πιθανή σύνδεση μεταξύ του Tumblr hack και μιας πρόσφατα αποκαλυφθείσας παραβίασης του LinkedIn. Ο τελευταίος είναι ο τρέχων κάτοχος ρεκόρ όσον αφορά τον όγκο των δεδομένων που έχουν κλαπεί, αλλά ο Hunt έχει επίσης προσελκύσει τον τρόπο με τον οποίο τα δεδομένα πωλούνται στο διαδίκτυο.
Και στις δύο περιπτώσεις, οι κωδικοί πρόσβασης που εξήχθησαν από τον εισβολέα ή τους εισβολείς, είναι όλοι διαθέσιμοι στον υψηλότερο πλειοδότη στον σκοτεινό ιστό. Επιπλέον, οι καταχωρίσεις που εντόπισε η Hunt στο διαδίκτυο δημιουργήθηκαν από τον ίδιο πωλητή, έναν λογαριασμό γνωστό ως "Peace_of_mind". Αυτό δεν σημαίνει απαραίτητα ότι το άτομο είναι το άτομο που είναι υπεύθυνο για τις παραβιάσεις, αλλά είναι μια άλλη ομοιότητα.
Υπάρχει επίσης μια τρίτη παραβίαση, σχετικά με ένα κάποτε δημοφιλές αλλά τώρα ανενεργό κοινωνικό δίκτυο, το οποίο φημολογείται ότι είναι το μεγαλύτερο από όλα. Πιστεύεται ότι το MySpace παραβιάστηκε σε μια απροσδιόριστη ημερομηνία, πιθανώς στα μέσα της δεκαετίας του 2000, και ότι 360 εκατομμύρια δίσκοι είχαν κλαπεί. Το γεγονός ότι όλες αυτές οι παραβιάσεις τώρα έρχονται στο φως είναι μια άλλη ένδειξη ότι οι δράστες μπορεί να είναι οι ίδιοι, σύμφωνα με τον Hunt.
«Υπάρχουν μερικά πολύ ενδιαφέροντα μοτίβα που εμφανίζονται εδώ Το ένα είναι προφανώς η ηλικία. Η νεότερη παραβίαση αυτού του πρόσφατου διαλείμματος είναι ακόμη περισσότερο από τρία χρόνια », δηλώνει ο Hunt. "Αυτά τα δεδομένα παραμένουν αδρανή (ή τουλάχιστον εκτός δημόσιας θέασης) για μεγάλα χρονικά διαστήματα."
Οι ειδικοί ασφαλείας συμβουλεύουν επίσης τις εταιρείες κοινωνικών μέσων να ξεπεράσουν τους κωδικούς πρόσβασης για να προστατεύσουν τα μέλη τους.
«Οι παραβιάσεις στο MySpace και το LinkedIn είναι μόνο δύο ακόμη παραδείγματα που υπογραμμίζουν γιατί οι κωδικοί πρόσβασης δεν επαρκούν για την προστασία ευαίσθητων δεδομένων», δήλωσε ο Vishal Gupta, Διευθύνων Σύμβουλος της εκκίνησης ασφαλείας Seclore, στην Digital Trends. «Οι λύσεις ασφαλείας που βασίζονται στα δεδομένα είναι φυσικοί υποψήφιοι για τη συμπλήρωση του ολοένα και πιο εξασθενημένου κωδικού πρόσβασης. Εφαρμόζοντας προστασία σε επίπεδο δεδομένων, ακόμη και αν οι χάκερ καταφέρουν να αποκτήσουν ευαίσθητες πληροφορίες, τα δεδομένα παραμένουν εντελώς άχρηστα. "
Είναι σημαντικό να σημειωθεί ότι ο Tumblr ισχυρίζεται ότι το κλεμμένο σύνολο διευθύνσεων email χρήστη περιέχει όλους τους αλατισμένους και κατακερματισμένους κωδικούς πρόσβασης SHA1, οι οποίοι είναι πολύ πιο δύσκολο να σπάσουν.
