Как сообщили представители ресурса LeakedSource, репозитория взломанных учетных записей, в их распоряжение попали данные музыкального сервиса Last.fm, скомпрометированные еще в 2012 году. В результате взлома пострадали аккаунты 43 млн пользователей.

Записи о пользовательских профилях содержат имена, email-адреса и пароли. Хотя пароли хешированы, не обладающий достаточной криптоустойчивостью алгоритм MD5 уже ненадежен, и пароли можно сравнительно легко взломать.

Сервис Last.fm знал о компрометации и рекомендовал пользователям сменить пароли еще четыре года назад, но при этом не сообщил ни о масштабах утечки, ни об используемом алгоритме хеширования.

Данные в адрес LeakedSource передал пользователь Jabber с ID daykalif[at]xmpp.jp; ранее он неоднократно снабжал репозиторий утекшими данными (вероятно, для привлечения внимания).

Исследование пробного образца базы показало, что данные аутентичны. 96% паролей хешированы, но не «посолены», и исследователям понадобилась всего лишь пара часов, чтобы взломать их. 9 млн скомпрометированных аккаунтов зарегистрированы на hotmail.com, 8 млн — на сервисе Gmail.

Хотя Last.fm за последние годы существенно потерял в популярности, скомпрометированные данные несут риск взлома других сайтов — из-за привычки пользователей использовать один и тот же пароль для регистрации на разных сервисах. Поэтому пользователям следует незамедлительно сменить пароли, предупреждают эксперты.

В последние несколько месяцев участились сообщения об утечках учетных записей из целого ряда популярных сервисов и соцсетей — LinkedIn, Tumblr, MySpace, Twitter, а также Mail.ru и «ВКонтакте«. Все взломы произошли достаточно давно, что означает, что хакеры могли использовать полученную информацию в течение многих лет, прежде чем факт утечки был обнародован.

Категории: Хакеры