Você se lembra do hacker que recebeu o apelido de Peace, que ofereceu recentemente à venda 117 milhões de credenciais do Linkedin? O hacker agora está fazendo o mesmo com 65,469,298 milhões de senhas com hash e salgadas, junto com os endereços de email, de usuários do Tumblr. As credenciais são de um 2013 violação de dados, antes da aquisição do Tumblr pelo Yahoo. De acordo com o conhecido pesquisador Troy Hunt, criador do projeto Have I Been Pwned, as credenciais foram obtidas durante fevereiro 2013.
Tumblr divulgou um comunicado no início deste mês, em maio 12, mas não especificou o número de usuários afetados:
Recentemente, descobrimos que um terceiro obteve acesso a um conjunto de endereços de e-mail de usuários do Tumblr com senhas com sal e hash desde o início 2013, antes da aquisição do Tumblr pelo Yahoo. Assim que ficamos sabendo disso, nossa equipe de segurança investigou exaustivamente o assunto. Nossa análise não nos dá motivos para acreditar que essas informações foram usadas para acessar contas do Tumblr. Como precaução, Contudo, solicitaremos que os usuários afetados do Tumblr definam uma nova senha.
O banco de dados de usuário roubado está à venda por centavos, de novo. A paz está oferecendo isso para 0.4255 Bitcoin. Mesmo que seja relativamente difícil quebrar as senhas, ainda é bastante incômodo que 65 milhões de endereços de e-mail são disponibilizados para hackers. Phishing e spam são apenas dois dos muitos resultados possíveis que podem colocar em risco as informações pessoais dos tumblers.
O que todas as violações de dados recentes (LinkedIn, Meu espaço, Arremesso, e agora o Tumblr) Tem em comum?
Todos esses incidentes de dados ocorreram há vários anos, mas suas consequências estão apenas começando a revelar hoje. Troy Hunt escreveu uma paz completa sobre o assunto, intitulado O surgimento de mega-violações históricas. além disso, as partes afetadas sistematicamente deixam de avisar seus usuários ou de resolver o problema o mais rápido possível. A prevenção da violação de dados deve ser sua prioridade, mas na verdade é mais um tabu.
Existem alguns padrões realmente interessantes emergindo aqui. Um é obviamente a idade; a mais nova violação desta onda recente é ainda mais do que 3 anos. Esses dados estão latentes (ou pelo menos fora da vista do público) por longos períodos de tempo.
O outro é o tamanho e estes 4 violações [LinkedIn, Meu espaço, Tumblr, Arremesso] estão todos no topo 5 maiores HIBP [Fui sacaneado] já viu. Isso está fora de 109 violações até o momento, também. Não apenas isso, mas estes 4 os incidentes são responsáveis por dois terços de todos os dados do sistema, ou pelo menos assim que o MySpace aparecer.
Resumindo:
- A verdade sobre todas essas violações se tornou pública em um mês;
- Os incidentes aconteceram no passado;
- Os fornecedores não reagiram adequadamente;
- Os dados vazados estão à venda no mercado negro.
O que Troy Hunt pensa sobre todas essas coincidências?
Se isso realmente é uma tendência, onde isso termina? O que mais está reservado que ainda não vimos? E por falar nisso, mesmo que esses eventos não se correlacionem com a mesma fonte e estejamos apenas olhando para o tempo coincidente de lançamentos, quantos mais existem no “mega” categoria que estão simplesmente sentados nas garras de várias partes desconhecidas?
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: