01.09.2016 | 13:54

Adam Haertle

Wyciek danych z Last.fm – w tym także setki tysięcy kont Polaków

Coraz mniej jest popularnych serwisów które jeszcze nie ogłosiły utraty danych dziesiątek milionów użytkowników. Dzisiaj do grona ofiar włamania dołącza popularny również w Polsce serwis muzyczny Last.fm.

Powstały kilka miesięcy temu serwis LeakedSource opublikował własnie informacje o ujawnieniu wycieku danych użytkowników Last.fm. Dane pochodzą z 22 marca 2012 i obejmują ponad 43 miliony kont użytkowników, w tym także Polaków.

Co wyciekło

Wśród ujawnionych danych znalazły się nazwa użytkownika, adres poczty elektronicznej, hasz hasła oraz data rejestracji. Niestety hasła były zapisane w postaci funkcji skrótu MD5, co sprawia, że próba ich odgadnięcia w znakomitej większości przypadków zakończy się powodzeniem. Jeśli zatem Twoje hasło nie miało przynajmniej 14 znaków nie związanych z żadnym słownikiem, to możesz założyć, że przestępcy byli w stanie poznać jego treść.

Last.fm

LeakedSource opublikował także statystyki najpopularniejszych domen używanych w ujawnionych adresach email. Na miejscu 11 jest Wirtualna Polska z 303 181 wpisów, na 17 o2.pl z 251 680 wpisów, na 35 interia.pl z 90 088 wpisów a na 38 op.pl z 79 629 wpisów. Daje to w sumie prawie 700 tysięcy adresów, zatem możemy spokojnie przyjąć, że wyciekły dane co najmniej miliona Polaków – uwzględniając pozostałe polskie domeny oraz osoby, które mają konta w domenach gmail czy hotmail.

Last.fm w czerwcu 2012 informowało o wycieku, jednak najwyraźniej była to informacja dość ogólna, która nie trafiła do większości użytkowników.

Tradycyjne rekomendacje

Po kolejnym wycieku trudno powiedzieć coś nowego, ale trzeba powtarzać do bólu: korzystajcie w programów do zarządzania hasłami, nie używajcie tych samych haseł więcej niż 1 raz, Wasze hasło już wiele razy wyciekło i wycieknie jeszcze wiele razy. Włączcie uwierzytelnienie dwuskładnikowe tam, gdzie to możliwe. Przekażcie te wskazówki bliskim i dopilnujcie, by się do nich zastosowali.

Powrót

Komentarze

  • 2016.09.01 14:13 AQ

    To jest absolutny skandal, że przy takiej skali wycieku serwis nie informował o tym użytkowników.

    Odpowiedz
    • 2016.09.01 17:42 dzek

      przecież informował, masz nawet podlinkowane w artykule …

      Odpowiedz
      • 2016.09.03 17:45 Jacek

        Dane 43 milionów użytkowników wyciekły a oni piszą „some Last.fm user passwords.” xD

        Odpowiedz
    • 2016.09.01 17:43 Karol

      Przecież jest napisane, że last.fm powiadomił już w 2012 r.

      Odpowiedz
  • 2016.09.01 14:14 Adam

    „…korzystajcie w programów do zarządzania hasłami…”

    Przydałaby mi się porada w tym zakresie. Jakie oprogramowanie tego typu jest obecnie polecane? Zależy mi na tym, bym miał dostęp do haseł z każdego miejsca na Ziemi. Czy wydajniej jest napisać własny menadżer z dostępem WWW i odpowiednio zabezpieczyć?

    Odpowiedz
    • 2016.09.01 18:48 Phitherek_

      KeePass lub KeePassX + pendrive ;)

      Odpowiedz
      • 2016.09.01 20:15 Adam

        Dzięki, przetestuje. :D

        Odpowiedz
      • 2016.09.02 09:51 marianZ

        Osobiście stosuję notes marki „Gerlach”.
        Hasło główne jest unikalne dla każdej strony i generuję je m.in. z numeru strony w notesie. Po wygenerowaniu uzyskuję liczbę, biorę więc właściwą linijkę z notesu.
        Niestety software’owe menedżery haseł to daleka przyszłość, nie są one zintegrowane domyślnie z przeglądarkami i usługami synchronizacji zaszyfrowanych baz, więc tak czy inaczej wszędzie trzeba mieć notebooka. Jeżeli pracujemy w sieciach o różnych poziomach dostępu, to nawet notebook nie pomoże, bo próba podłączenia się zamiast dedykowanej końcówki nic nie da. Rozwiązanie z pendrive to jakaś kpina, KeePassX jest tak kapryśny, że nie działa nigdzie poza systemem, na którym go skompilowano. Testowano na Debianie – nie był w stanie uruchomić się na drugiej maszynie z Debianem!
        Czy ktoś nie wynalazł menedżera haseł w sprzęcie? Tylko nie znany nam kluczyk, który wymaga zainstalowania trojana, tylko w postaci zwykłego emulatora HIDa?

        Odpowiedz
        • 2016.09.04 09:09 gotar

          KeePass ma integrację z Fx oraz Chrome, KeePassX ma autotype (dla Linuksa), który w zasadzie powinien zadziałać dla dowolnej aplikacji z klawiaturową nawigacją pomiędzy polami loginu i hasła.

          To, że KeePassX nie działa poza maszyną, na której jest kompilowany, to jakaś kompletna bzdura – w jaki sposób działałyby wersje dostarczane w dystrybucjach? Raczej świadczy to o tym, że wykonawca kompilacji (i nie mam na myśli kompilatora…) nie ma wystarczających kompetencji – PBKAC.

          A sprzętowy HID do haseł jak najbardziej istnieje – YubiKey. Jest powszechnie chyba znany w brażny, więc dziwne, że o tym nie wiesz…

          Odpowiedz
          • 2016.09.05 20:53 marianZ

            Pod Windowsem rzeczywiście KeePass jest przenośny. Pod Linuksem może jest możliwość skompilowania KeePassX’a tak, by dało się go uruchomić z pendrive na drugim komputerze, ale tego z pewnością nie robi się przez zwykłego make’a. Skompilowałem sobie, wrzuciłem całość (która się uruchamiała!) na pendrive, pokonałem problem z uprawnieniami do uruchamiania formatując całego pendrive na ext, na jednym się z pendrive uruchamia, na drugim niet. Nawet nie wyświetla jakiej biblioteki nie ma! Coś w rodzaju „file format error” i koniec. Na obu maszynach Debian, kompilowane na moim pececie, uruchamiane na koncie X’owym na serwerze (tu akurat Debian wersja niżej – 7). Nie oczekujmy od każdego komputera na Ziemi żeby miał zainstalowanego KeePass’a.

            YubiKey… nadal wymaga menedżera haseł albo pewnych konkretnych (może tych, co zawarły porozumienia z odpowiednimi agencjami :) ?) usług. To powinno działać niezależnie od systemu – hasło główne wprowadzane na menedżerze lub przez klawiaturę komputera (sniff’owanie USB), i przez pracę interakcyjną np. w notatniku wybór usługi. „Fortepian” mający 10 przycisków i emitujący hasła jako HID to i ja mogę zrobić na jakimś PICu. Ale hitem byłby produkt bez „fortepianu” klawiszy, stosujący sniffowanie klawiatury USB jako wejście.

    • 2016.09.02 17:21 Janusz

      Na maca masz niepokonanego 1password, ktory aktualnie nie ma konkurencji :P

      Odpowiedz
    • 2016.09.03 08:34 Artur

      Polecam keepass :)
      Używam na windowanie, androidzie oraz iOS(mobilne odpowiedniki, znajdziesz na stronie keepass).
      Synchronizacja za pomocą dysku google.

      Odpowiedz
  • 2016.09.01 14:21 Eugeniusz

    Czy trzymanie haseł w Chrome jest bezpieczne, jeśli korzystam ze standardowego konta w Windows i każdy dostęp do haseł w przeglądarce wymaga podania hasła Windows?

    Odpowiedz
    • 2016.09.01 17:23 Adam

      KeePass 2. Jak chcesz mieć dostęp z „całego świata”, to albo w wersji portable na pendrivie albo po prostu trzymasz plik z bazą haseł (który jest zaszyfrowany) w skrzynce mail bądź chmurze.
      http://keepass.info/

      Odpowiedz
      • 2016.09.02 09:49 Eugeniusz

        Ok, znam KeePass, ale chciałem wiedzieć jak bezpieczna jest metoda, o której pisałem.

        Odpowiedz
      • 2016.09.04 10:28 Hepita

        Czy mogę synchronizować Androidowego KeePassa z Linuksowym? Chodzi mi o ten sposób z przechowywaniem bazy haseł w zaszyfrowanym pliku w chmurze
        Obecnie korzystam z zapamiętywania haseł w Chrome, bo jest wygodne, a nie planuję sytuacji że ktokolwiek włamie mi się na komputer/telefon, ale warto by było zadbać o lepsze zabezpieczenie.

        Odpowiedz
        • 2016.09.05 15:50 pat

          Nie testowałem, ale jest opcja trzymania i synchronizowania bazy w Google Drive. Ale to działa tylko w wersji CKP dla chrome.

          Odpowiedz
    • 2016.09.01 22:52 HouK

      Hasła z chrome wyciąga sie jednym poleceniem bez podawania żadnych haseł.

      Odpowiedz
      • 2016.09.02 11:33 Eugeniusz

        A jak są zabezpieczone hasłem Windows?

        Odpowiedz
  • 2016.09.01 14:28 robo

    Dziwne że wszystkie wielkie wycieki były z 2012 roku!

    Co do managerów haseł to powiem jedno – keepass + owncloud RULEZ! :)

    Odpowiedz
    • 2016.09.01 16:41 Arek

      Haha dokladnie tak. Tylko ja Ty pewnie masz wlasny serwerek ja uzywam owndrive (maja szyfrowanie plikow wlaczone w darmowej wersji).

      Odpowiedz
      • 2016.09.01 22:08 robo

        Tak, mam własną domenę na VPSie, nie intuicyjna nazwę chmury która jest dodatkowo szyfrowana i tylko dla keepassa, odpowiednie regulki w .htaccess zwłaszcza dla IP które mogą wejść na stronę (dom, praca, t-mobile), wymuszony https (letsencrpt)…

        … nie jest to moja paranoja tylko minimum zabezpieczeń potrzebnych do ochrony swojego cyfrowego swiata ;))

        Odpowiedz
        • 2016.09.04 09:17 gotar

          Jedyną ochroną przed cyfrowym zagrożeniem jest nietrzymanie tam niczego, co ma jakąkolwiek wartość. Czyli osobna maszyna do bankowości, a resztę haseł niech sobie kradnie, kto chce.

          Natomiast tam, gdzie pracujemy i potrzebujemy mieć różne dostępy cyfrowe, należy haseł nie mieć W OGÓLE. Tj. klucze, tokeny sprzętowe itp. rozwiązania (SSO, kerberos, LDAP z odpowiednimi politykami) plus ograniczenia na adresację (ew. GeoIP).

          Po prostu nie wolno mieszać szambo-sieci (tzw. „internetów”) z tym, co dla nas ważne. Poczynając przynajmniej na poziomie OS (wirtualka do oglądania kotków).

          Odpowiedz
  • 2016.09.01 14:58 qaz

    Żadna to „szokująca wiadomość” bo o tym nieautoryzowanym przejęciu danych (zaczyna mnie denerwować słowo wyciek) sam Last.fm informował w 2012 roku i już wtedy sam prosił o zmianę hasła.

    Odpowiedz
  • 2016.09.01 15:12 Filip

    Hasło to pół biedy (15 nie słownikowych znaków + używałem go tylko tam), problemem jest adres email na który będzie spływać coraz więcej spamu..

    Odpowiedz
    • 2016.09.01 17:45 dzek

      nie ma to jak własna domena (albo kilka) i unikalny adres per serwis :) spam Ci niestraszny, a i łatwiej o dowód, gdy ktoś sprzeda Twój adres (opcja z „+” w gmailu jest mniej „bezpieczna” bo plus można łatwo wyciąć)

      dziwne jest bycie osobą „techniczną” i niestosowanie tego rozwiązania

      Odpowiedz
      • 2016.09.01 19:36 Krzysztof Kozłowski

        Przecież spamują całe domeny „własne”

        Odpowiedz
      • 2016.09.01 20:13 Filip

        Konto mam tam od 2008 i od tamtego czasu niewiele zmieniałem tam, a zabawy z aliasami raczej robię w miejscach gdzie strony nie znam, albo jej nie ufam.. Niestety okazuje się że nawet największym nie można ufać :/

        Odpowiedz

Zostaw odpowiedź do robo

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Wyciek danych z Last.fm – w tym także setki tysięcy kont Polaków

Komentarze