Den enorme skala for et databrud, der påvirkede social blogging platform Tumblr, blev afsløret for første gang.
Den Yahoo-ejede tjeneste indrømmede, at den var blevet hacket i 2013, men nægtede at afsløre, hvor mange konti der var blevet berørt. Ifølge sikkerhedsekspert Troy Hunt slap hackere væk med ca. 65 millioner Tumblr-adgangskoder i alt, hvilket gør det til det tredjestørste dataloverbrud nogensinde.
Endnu mere fascinerende er dog den potentielle forbindelse mellem Tumblr-hacket og et nyligt afsløret LinkedIn-brud. Sidstnævnte er den nuværende rekordindehaver med hensyn til mængden af stjålne data, men Hunt har også trukket paralleller til den måde, hvorpå data sælges online.
I begge tilfælde er adgangskoderne ekstraheret af hackeren eller hackere alle tilgængelige for højstbydende på det mørke web. Derudover blev de lister, som Hunt så online, alle oprettet af den samme sælger, en konto kendt som "peace_of_mind." Det betyder ikke nødvendigvis, at personen er den person, der er ansvarlig for overtrædelserne, men det er endnu en lighed.
Der er også et tredje brud, der vedrører et engang så populært, men nu afviklet socialt netværk, der ryktes at være det største af dem alle. Det menes, at MySpace blev hacket på en uspecificeret dato, muligvis i midten af 2000-tallets storhedstid, og at 360 millioner poster blev stjålet. Det faktum, at alle disse overtrædelser nu kommer frem, er en anden indikation af, at gerningsmændene kan være de samme, ifølge Hunt.
”Der er nogle virkelig interessante mønstre, der dukker op her. Den ene er tydeligvis alderen; det nyeste brud på denne nylige bølge er stadig mere end tre år gammel, ”siger Hunt. "Disse data har ligget i dvale (eller i det mindste uden for offentlighedens syn) i lange perioder."
Sikkerhedseksperter råder også virksomheder til sociale medier til at gå ud over adgangskoder for at beskytte deres medlemmer.
”Overtrædelserne på MySpace og LinkedIn er blot to eksempler, der fremhæver, hvorfor adgangskoder ikke er tilstrækkelige til at beskytte følsomme data,” sagde Vishal Gupta, administrerende direktør for sikkerhedsstart Seclore, til Digital Trends. ”Datacentrerede sikkerhedsløsninger er en naturlig kandidat til at supplere det stadig svækkede kodeord. Ved at anvende beskyttelse på dataniveau, selvom hackere formår at få fat i følsomme oplysninger, forbliver dataene helt ubrugelige. ”
Det er vigtigt at bemærke, at Tumblr hævder, at det stjålne sæt bruger-e-mail-adresser alle indeholdt saltede og SHA1 hashede adgangskoder, som er meget sværere at knække.
