MySpace 4.27亿个密码泄漏(附下载链接)

网络安全领域有一个被屡屡提及的格言：公司分两种，一种是已经被黑客攻击的，一种，是还不知道已被攻击的。

　　社交媒体巨头MySpace，明显属于第二种。上周还在售卖超过1.64亿Linkedln用户数据的同一个黑客，本周继而宣称已拿到MySpace用户的3.6亿封邮件和密码，如果属实，这将是史上最大规模的密码泄露事件。而且，这份数据似乎已在其他黑客中流传开来。

该黑客名为Peace,从MySpace中盗走数据的时间不明，但黑客自己和一个LeakedSource(被入侵数据的有偿搜索引擎)的操作员说法一致，且后者称有证据表明，数据泄露发生的原因是过去曾有一个未被报告的漏洞。

Peace和LeakedSource都未提供被盗数据的样例。为验证这些泄露的数据是否正确，Motherboard网站将曾在MySpace注册过的三位员工以及两个公司员工的朋友的邮箱地址提交给LeakedSource，结果LeakedSource正确地回复了对应邮箱的密码。

LeakedSource于周五在一篇博文中宣布了泄露事件。该数据集有427,484,128个密码，但只有360,213,024亿封邮件，该文还称，数据集中的每项记录都包含“一个邮件地址，一个用户名，一个密码，某些情况下还包括一个备用密码”

“数据一旦已被进行若干次交易，最终就会流传到某个不值得信任的人手里，然后就会疯狂地泛滥不止。”

“在这3.6亿邮件中，有111,341,258个账户绑定了用户名，有68,493,651个账户有备用密码(其中有些没有设置第一密码)。”LeakedSource写道。LeakedSource的用户可每天支付2美元，也可每年支付265美元，就能登录其网站并浏览该公司声称的超过16亿被攻击或被泄露的数据记录。

文中表示，数据由某个化名为Tessa88的人提供，但在与Motherboard的采访中。该网站的一个运营人员说他们不清楚泄露数据的真实来源，比如说谁是第一个盗取MySpace的人，也不知道谁在“这段时间”一直持有该数据，以及该公司被攻击的时间。但这些数据最后注定会被泄露，他们表示。

“这是信息的本质，‘三个人无法保住一个秘密，除非是其中两个人死了。’(出自本杰明·富兰克明)。”该运营人员在一次在线聊天中告诉我说：“数据一旦已被进行若干次交易，最终就会流传到某个不值得信任的人手里，然后就会疯狂地泛滥不止。”

MySpace收到多个询问请求，但都未表态。

LeakedSource还写道，密码最初是由SHA1算法进行散列化，该算法被认为性能较弱，易于攻破，雪上加霜的是，该公司在散列过程中没有对密码进行“salt”,即在为使密码难以攻破而进行散列之前，没有在密码末端添加一串随机字节。

因此LeakedSource的运营人员才告诉我，他们希望在月底破解98%到99%的密码，尽管该人员拒绝透漏已经破解多少。

10年前的MySpace曾是互联网上最大的网站之一，而如今这个社交媒体只是空有其名，有很严重的安全问题。该网址最近曾吹嘘注册用户已跨过10亿门槛，然而据去年的报告，每月只有5000万个独立访客。

如果全部数据正确，这将会是有史以来规模最大的一次数据失窃。而且，如果全部数据正确，这将会是有史以来规模最大的一次数据失窃。更重要的是，这表明某些时候MySpace已经被攻击过，而且，该公司从未发现过此事，也未曾公开或在内部披露过这些信息。如果所有数据真的都来自MySpace，这将是会曾出现过的最大规模的邮件和密码泄露事件，并会在数据泄露意识网站Have I Been Pwned上名列榜首。

因此对用户来说，即使弃用账户或让账户休眠也会存在风险，因为账户中仍有可能包含个人数据，并会在其他的网络攻击中加以利用。重要的是，如果你有MySpace账号，要进行密码修改。但最最重要的是，如果你在其他更加敏感的网络服务中也使用同样的密码，也要立即更改。而且可以考虑使用LastPass或1Password等密码管理器，让你可以在每个不同的网站使用专有且强大的密码。

美国东部时间下午5点1分更新：周五下午，自称为Peace的黑客在网上的黑市The Real Deal上欲出售从Myspace上盗取的密码以及账户等数据，出价6比特币(大约为2800美元)。

数据库下载地址：

Myspace Data Dump：

MySpace，有史以来影响最大的核弹级数据泄露，3.6亿条记录，纯SHA1加密

Magnet: Download the data by magnet

Torrent: Download the data by torrent

解压密码 KLub8pT&iU$8oBY(*$NOiu

1. wc -l Myspace.com.txt
2. 360213049 Myspace.com.txt
4. <code>head Myspace.com.txt
5. 2:duc.chau@gmail.com:ducc:0xFD3515E21CA80E761EB9AD5D793BDB9F0D85B4C0:0xE31FFAF571C43BB46BB02F030F2DB39FD1200A7E
6. 3:awhitcomb@gmail.com:aberw:0x77E61D83DD3D2961059CC734E58E644852D172CC:”
7. 4:jason@feffercd.com:fef:0xFF52514398CCCA51773618EB0EDE3723EEC71CC2:”
8. 5:kyle@myspace.com:kylebrinkman:0xE5F1A55B3B0C857A0FB1E3FB261962B4158BE72D:”
9. 6:chris@myspace.com:chrisdewolfe:0xB46300008C220E808736A9199F41E0DA9C4EF73B:”
10. 7:tomresponse@yahoo.com::0x0EC6D150549780250A9772C06B619BCC46A0E560:”
11. 8:charles.gough2@gmail.com:theregular:0x455EAF85183D72E2F93A8CFABB7BACC0C9788BF3:0x98F09FD5169012432A0944E7982DC718138BB7B2
12. 9::9:”:”</code>
14. 密文为SHA1加密，去掉前面的0x即可。