Dzień wycieków – dane ponad 70 milionów kont serwisu Tumblr w sieci

dodał 18 maja 2016 o 19:28 w kategorii Włamania  z tagami:
Dzień wycieków – dane ponad 70 milionów kont serwisu Tumblr w sieci

Podobno nieszczęścia chodzą parami. To przysłowie najwyraźniej sprawdza się także w obszarze cyberbezpieczeństwa, ponieważ musimy Was poinformować o drugim ogromnym wycieku danych milionów użytkowników sieci.

W internecie znaleźć można plik zawierający 73 miliony wierszy, którego zawartość dość wyraźnie wskazuje na pochodzenie z serwisu Tumblr.com. Potwierdzają to niedawne komunikaty serwisu, zatem czas znowu zmienić hasła. Dotyczy to również całkiem sporej grupy naszych rodaków, bo samych adresów email z domeny .PL jest ponad 160 tysięcy.

Ogromny plik

Po sieci krąży plik o rozmiarze ponad 2GB (ponad 4GB po rozpakowaniu) i nazwie users.tar.7z, zawierający 73 369 246 wierszy, a w każdym z nich adres email oraz hasz hasła. Plik przynajmniej w jednym ze źródeł opisany był jako wyciek z serwisu Dropbox, jednak już pierwsza analiza jego zawartości wskazuje na inne pochodzenie. W całym pliku słowo dropbox występuje zaledwie 167 razy, podczas kiedy słowo tumblr odnotowało prawie 240 tysięcy wystąpień.

Tożsamość wycieku często pozwala ustalić analiza pierwszych wierszy w bazie (o ile zawiera ona rekordy posortowane chronologicznie). Szybki rzut oka do Google pozwala na identyfikację kilku osób.Pierwszy wpis w bazie to adres email Davida Karpa, założyciela Tumblra. Drugi na liście jest Marco Arment, który sam przyznaje, że był w latach 2006 – 2010 głównym programista Tumblra. Oczywiście istnieje taka możliwość, że ktoś po prostu sprytnie spreparował pierwsze wiersze, jednak w kontekście całości informacji dodaje to wiarygodności ustaleniom.

Fragment bazy

Fragment bazy

Udało się nam także zlokalizować cztery osoby, które będąc pewne, że miały konto w serwisie Tumblr przed 2013 rokiem, podały nam swoje adresy email. Trzy z nich znaleźliśmy w ujawnionej bazie.

Z kiedy pochodzi wyciek?

12 maja sam Tumblr (a w zasadzie Yahoo, do którego obecnie należy) ogłosił, że dowiedział się o wycieku adresów email oraz haszowanych haseł „części użytkowników” (komunikat nie precyzował jakiej części), który miał miejsce na początku roku 2013. Tumblr miał wymusić reset hasła na wszystkich użytkownikach objętych incydentem. Zawartość ujawnionej bazy pozwala na próbę weryfikacji wskazanej daty wycieku. Niektóre adresy email zawierają przedrostek w formie

gdzie YYYYMMDD to rok, miesiąc i dzień. Możemy się domyślać, że jest to data zablokowania konta. Najstarszą datą, jaką znaleźliśmy, był 28 lutego 2013, co pokrywa się z komunikatem firmy.

Czy da się odgadnąć hasła?

To dobre pytanie. Budowa hasza wskazuje, że jest to MD5, jednak pobieżna analiza wykazuje, że choć hasze się czasem powtarzają, to kilkanaście losowo wybranych było nie do znalezienia w Google. Zgadza się to z komunikatem firmy która poinformowała, że hasze były solone – co oznacza, że do każdego hasła został dodany losowy ciąg znaków przed jego przekształceniem funkcją jednokierunkową. W ujawnionej bazie nie ma informacji o użytej soli, co oznacza, że jeśli była odpowiedniej długości, to odgadnięcie hasła jest praktycznie niemożliwe. Nie jest jednak wykluczone, że włamywacze dysponują wartościami soli i są w stanie odgadnąć zapisane w bazie hasła (a w zasadzie pewnie już dawno temu to zrobili).

Wszystkim osobom używającym Tumblra przed marcem 2013 polecamy weryfikację, gdzie mogły skorzystać z tego samego hasła i zmianę tamże. Lepiej późno niż wcale.