巨大なTumblrとLinkedInのデータ侵害がつながる可能性

グーグルプロジェクトゼロがマイクロソフトブラウザデイバグハッカーキーボードダークルームを公開ソーシャルブログプラットフォームTumblrに影響を与えた大規模なデータ侵害が初めて明らかになりました。

Yahooが所有するサービスは2013年にハッキングされたことを認めたが、影響を受けたアカウントの数を明かすことを拒否した。セキュリティの専門家であるTroy Hunt氏によれば、ハッカーは合計で約6500万のTumblrパスワードを取得したため、史上3番目に大きなデータ侵害となっています。

ただし、さらに魅力的なのは、Tumblrハックと最近明らかになったLinkedIn違反との潜在的な関連性です。後者は、盗まれたデータの量の点で現在の記録保持者ですが、ハントはまた、データがオンラインで販売されている方法と類似しています。

どちらの場合も、ハッカーが抽出したパスワードはすべて、ダークウェブの最高入札者が利用できます。さらに、ハントがオンラインで見つけたリスティングはすべて、「peace_of_mind」と呼ばれるアカウントである同じ出品者が作成したものです。これは必ずしも個人が違反の責任者であることを意味するわけではありませんが、それはさらに別の類似点です。

かつては人気があったが現在は機能しなくなったソーシャルネットワークに関する3番目の違反もあり、これはそれらすべての中で最大であると噂されています。MySpaceは不特定の日にハッキングされたと考えられており、おそらく2000年代の全盛期にハッキングされ、3億6,000万件のレコードが盗まれたと考えられています。ハントによると、これらの違反のすべてが現在明らかになっているという事実は、加害者が同じである可能性があることの別の指標です。

「ここには、いくつかの本当に興味深いパターンが現れています。1つは明らかに年齢です。この最近の状況の最新の違反は、まだ3年以上前のものです」とハントは述べています。「このデータは長い間、休止状態(または少なくとも公衆の目には見えない状態)にあります。」

セキュリティの専門家はまた、メンバーを保護するためにパスワードを超えてソーシャルメディア企業に助言しています。

「MySpaceとLinkedInでの違反は、機密データを保護するのにパスワードでは不十分な理由を強調するもう2つの例に過ぎません」と、セキュリティの新興企業SecloreのCEO、Vishal GuptaはDigital Trendsに語った。「データ中心のセキュリティソリューションは、ますます弱体化するパスワードを補完する自然な候補です。データレベルで保護を適用することにより、ハッカーが機密情報を入手できたとしても、データは完全に使用できなくなります。」

Tumblrが盗んだユーザーの電子メールアドレスセットにはすべてソルトパスワードとSHA1ハッシュパスワードが含まれており、クラックがはるかに難しいと主張していることに注意することが重要です。