داده‌های نشت داده شده از MySpace

وب‌گاه Myspace.com مورد نفوذ قرار گرفته است. LeakedSource داده‌های آن را دریافت کرده و یک رونوشت از آن را در مخزنی از داده‌های نشت داده شده‌ و قابل جستجوی خود قرار داده است. این پایگاه داده به وسیله‌ی کاربری با نام مستعار [email protected] در اختیار LeakedSource قرار داده شده است و او به آن‌ها اجازه داده که از وی نام ببرند. MySpace.com به درخواست LeakedSource مبنی بر اظهار نظر در این مورد پاسخی نداده است و به درخواست‌های دیگر گزارشگران نیز جوابی نداده است.
LeakedSource یک موتور جستجو است که قادر است ۱.۶ میلیارد رکورد اطلاعاتی را جستجو کند که تجمعی از داده‌های جمع‌آوری شده از منابع مختلف می‌باشد. LeakedSource قادر بوده‌است تا این داده‌ها را در زمان نسبتاً اندکی از طریق روش‎های ترکیبی مختلف جمع‌آوری کند.

گاهی اوقات این تلاش‌ها LeakedSource را به کشف‌های مهمی رسانده‌اند (برای مثال MySpace ،LinkedIn) اما آن‌ها می‌‌گویند واقعاً اهل ضربه زدن به هیچکسی نیستند. اگر LeakedSource به یک پایگاه داده‌ی نشت داده شده از یک شرکت برخورد کند که ممکن است بسیاری از افراد چیزی از آن نشنیده باشند، آن‌ها تنها آن را با صاحب همان پایگاه داده در میان خواهند گذاشت.
شما خود می‌توانید با بازدید از صفحه‌ی اصلی LeakedSource در پایگاه داده‌ی MySpace.com به دنبال اطلاعات خود بگردید. LeakedSource می‌گوید اگر اطلاعات شخصی شما در رونوشتی از این داده‌ها باشند و یا در هر کدام دیگر از پایگاه‌های داده‌ی نشت داده شده که LeakedSource آن‎ها را پردازش می‌کنند شما می‌توانید با آن‌ها تماس بگیرید و بخواهید که به صورت رایگان آن‎ها را حذف کنند.

از زمان گام نهادن در چنین پروژه‌ی جاه‌طلبانه‌ای که تنها از چند ماه پیش آغاز شده است، LeakedSource می‌گوید مقادیر باورنکردنی از داده‌ها را پردازش کرده ‌است؛ بسیار بیشتر از آنچه که انتظار آن را داشته‌اند و بیشتر از هر آنچه که شرکت‌های دیگر در اختیار دارند و این تازه شروع کار آن‌هاست. ممکن است LeakedSource به زودی داده‌های بزرگ‎تری را کسب کند و بنابراین آن را از دست ندهید.
هر کسی ممکن است از اطلاعات موجود در این صفحه به صورت رایگان استفاده کند و هر قابلیتی را که LeakedSource ارائه می‌کند، می‌تواند مورد استفاده‌ی همه قرار گیرد.
LeakedSource درگیر هیچکدام از این موارد نبوده است، آن‎ها را تشویق نکرده و از انجام غیرقانونی این اقدامات(نفوذگری) در سامانه‌های شخصی چشم‌پوشی نکرده است.

خلاصه
این مجموعه از داده‌ها شامل ۳۶۰۲۱۳۰۲۴ رکورد اطلاعاتی هستند. هر کدام از این رکوردها ممکن است شامل یک نشانی رایانامه، یک نام کاربری یک رمز عبور و در برخی از موارد رمز عبور دوم باشند. از ۳۶۰ میلیون مورد، ۱۱۳۴۱۲۵۸ حساب کاربری دارای یک نام کاربری ضمیمه شده به آن است و ۶۸۴۹۳۶۵۱ مورد داری یک رمز عبور دوم است (برخی از آنها دارای یک رمز عبور اولیه نیستند).

رابط‌های کاربری API
پس از نفوذ آخر LeakedSource درخواست‌های بسیاری را برای دسترسی به API دریافت کرده‌ است و در حال راه‌اندازی یک رابط کاربری تجاری برای مصرف کننده در آینده نزدیک هستند. شما می‌توانید در مورد قابلیت‌های رابط کاربری در صفحه‌ی رابط کاربری آن‌ها مطالبی را بخوانید.

رمز عبور
رمزهای عبور در SHA۱ بدون وجود هیچگونه Salting ذخیره شده‌اند. Salting رمزگشایی از گذرواژه‌ها را هنگام مواجه به تعداد زیادی از رمزهای عبور شبیه به این، بسیار سخت‌تر می‌کند.
شیوه‌هایی که MySpace برای ذخیره‌ی رمزهای عبور خود استفاده کرده است مطابق با استانداردهای اینترنت نبوده‌اند و دارای رمزنگاری بسیار ضعیف بوده‌اند و حتی در برخی از موارد می‌توان گفت که دارای هیچگونه رمزگذاری نبوده‌اند که این کار را بدتر کرده است. LeakedSource می‌گوید ما متوجه شده‌ایم که رمزهای عبور کمی بوده‌اند که طولی بیش از ده کاراکتر را دارا بوده‌اند (در هزاران مورد) و تقریباً هیچکدام از آنها دارای یک کاراکتر با حروف بزرگ نبوده‌اند که کار را برای افراد در رمزگشایی از آن‌ها آسان‌تر کرده است.
به دلیل اینکه برخی از حساب‌ها دارای دو رمز عبور بوده‌اند، در مجموع ۴۲۷۴۸۴۱۲۸ رمز عبور برای ۳۶۰ میلیون کاربر وجود داشته است. علاوه بر این، به نظر می‌رسد که حساب‌هایی با عبور «homelesspa» به صورت خودکار ایجاد شده‌اند چرا که همه‌ی رایانامه‌هایی که از این رمزعبور استفاده می‌کنند دارای یک نوع قالب‌بندی هستند. LeakedSource همچنین می‌گوید ما متوجه شده‌ایم با توجه به اینکه MySpace در برخی از موارد نیاز به ارائه گذرواژه هم با عدد و هم حروف داشته است، در انتهای برخی از گذرواژه‌ها عدد یک گذاشته شده است.

LeakedSource در ادامه می‌گوید تا زمانی که MySpace به تلاش‌های ما برای برقراری ارتباط پاسخ دهد، ما تنها چند حرف اول رمزهای عبور را به نمایش می‌گذاریم به طوریکه کاربران بتوانند بررسی کنند کدامیک از رمزهای عبور افشاء شده‌اند. در این پیوند بیشترین گذرواژه‌ها و دامنه‎هایی که توسط MySpace استفاده شده را می‎توانید مشاهده کنید.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.