На сайте LeakedSource опубликована база данных, содержащая данные более 43,5 млн аккаунтов пользователей стримингового сервиса Last.Fm. Как сообщается, данные были украдены еще в 2012 году — тогда сервис подвергся хакерской атаке.

В чем проблема

В 2012 году представители Last.Fm признали факт взлома, однако сделали это не сразу, и до сих пор был непонятен масштаб утечки. К слову, в том же 2012 году были похищены данные пользователей Dropbox, однако информации о том, связаны ли эти атаки, пока нет. Ресурс LeakedSource, в распоряжении которого оказалась копия украденной базы данных с паролями, указывает, что они хранились в виде MD5-хэшей без соли.

Используемый алгоритм не обеспечивает серьезной защиты данных в случае взлома — на взлом хэшей и восстановление 96% паролей у предсавителей LeakedSource ушло всего два часа.

Отмечают представители ресурса и тот факт, что пользователи Last.Fm используют крайне слабые пароли:

• 255 319 человек использовали в качестве пароля строку 123456;
• 92 652 пользователя в качестве пароля установили слово 'password';
• Почти 67 000 выбрали пароль 'lastfm';
• Около 64,000 пользователей остановились на варианте 123456789;
• Еще 46 000 человек выбрали пароль 'qwerty';
• Почти 36 000 человек использовали пароль 'abc123'.

Что делать пользователям

Данные пользователей Last.Fm были добавлены в базу ресурса LeakedSource — чтобы узнать, была ли «слита» их информация, пользователи могут воспользоваться поиском на главной странице сайта. Даже если по данным этого ресурса учетная запись не скомпрометирована, имеет смысл изменить пароль на Last.Fm. Если же этот пароль используется и на других ресурсах, то поменять учетные данные следует и там.

Взломы, подобные описанному, в последнее время случаются регулярно. Last.Fm стал еще одним крупным сервисом, попавшим в компанию к LinkedIn, MySpace, «ВКонтакте», Tumblr и Dropbox, данные пользователей которых также «утекали» в сеть.