安全周23：LiveJournal密码泄漏

5月27日，星期三，跟踪用户密码泄漏的Haveibeenpwned服务具有LiveJournal服务的用户登录名和密码的数据库。据称数据泄漏发生在2014年。

但是，根据Haveibeenpwned服务的创始人Troy Hunt的说法，他收到了一些证据，表明后来创建的帐户数据库中存在该证据。从Bleeping Computer网站上发布的数据库数据库来看，大约有3000万用户可以公开访问电子邮件地址，个人资料链接和纯文本密码。最初，密码应该表示为MD5哈希。

关于LiveJournal密码数据库泄漏的谣言流传了回到去年。尽管博客托管的代表未报告黑客入侵，但数据的真实性得到了确认，包括Dreamwidth服务的所有者。该平台基于类似的代码库，经常一次用于复制博客。在Dreamwidth方面，他们确认，当许多帐户试图破解来自另一服务的密码时，凭据填充攻击的数量有所增加。 Bleeping Computer网站上的出版物详细描述了攻击者如何使用密码泄漏。

另一个泄漏是查看用户方面情况的一个很好的理由。摘要的一位作者收到了Troy Hunt服务的通知。您也可以在那里检查（如果您信任他）泄漏数据库中是否存在特定的密码-以此方式找不到LJ的当前密码。在一般情况下，如果在过去的几年中您更改了LiveJournal或其他遭受密码数据库泄漏的服务的密码，则几乎是安全的。

为什么差不多？事实是，如果您重复使用旧密码，或者如果您早已忘记在某个站点上注册，则旧密码可以用于其他服务。 Dreamwidth的示例是指示性的：一次，免费并单击几次即可在此服务上备份日记，这是一种时尚。容易忘记这样的副本，而且攻击者似乎可以访问它。长期遭到破坏的博客尤其危险。从子锁职位泄漏个人信息也不是一个令人愉快的情况。

Bleeping Computer提到了其他攻击示例。除了黑客入侵受影响的服务上的帐户外，密码还用于垃圾邮件中的勒索。典型情况：您收到一封信，其中包含有关您的计算机被指控遭到黑客入侵的消息，泄漏数据库中的密码被用作证据。使用相同密码进行所有操作却从未更改过的用户面临的风险最大：每次此类事件都会增加完全泄漏个人数据的机会，甚至会从银行帐户中窃取资金。

LiveJournal不是唯一已共享用户信息数据库的服务。在不同的时间，在社交网络的有条件类别中，密码从2018年的500px服务，2016年的AdultFriendFinder和Badoo，2013年的imgur，LinkedIn和Last.fm的服务中被盗。LiveJournal的泄漏以长快门速度为特征：在被黑客入侵之后，密码发生在2014年至2017年期间，直到2020年5月才公开提供用户密码。

当然，这并不排除在黑市上转售信息。用户保护在很大程度上取决于数字服务提供商，这里仍然只是希望所有人（如果可能）不要以明文形式存储密码。但是现实是用户需要采取行动。三年前在任何地方使用密码显然不是一个好主意。

发生了什么：
有趣的研究卡巴斯基实验室对工业企业的攻击。该出版物涉及此类攻击的初始阶段-尝试渗透传统网络基础设施，与其他网络基础设施没有太大区别。所描述的攻击显然是针对性的，使用了带有恶意附件（带有宏的XLS文件）的网络钓鱼电子邮件，并且-出乎意料的是，使用了隐写术：该脚本从公共主机下载图像，以绕过保护手段并从中解码下一阶段的恶意软件。

UnC0ver越狱的iOS设备的最新版本的工作与运行iOS的设备13.5甚至。该黑客工具的作者提到了一些零日漏洞。

Radware专家进行了分析僵尸网络骗局。与许多其他大规模攻击网络路由器和其他设备的犯罪活动不同，它不使用密码破解，而是使用一系列利用嵌入式软件中常见漏洞的漏洞。另一个僵尸网络使用中国百度公司的合法遥测收集系统将数据从受感染的系统传输到命令服务器。

微软的安全部门警告了一个名为Ponyfinal的勒索软件组织。她专注于公司目标。攻击方案的动机很常见：入侵弱密码，手动控制受害者，在加密之前盗窃数据。后者使得有可能两次索要赎金-恢复信息，从而不公开。

Veracode的一项有趣的研究（新闻，PDF 来源）。在分析了85,000个应用程序之后，其中70％发现了以前在开源组件中发现的某些错误。移动和桌面大众软件的开发人员在开发过程中使用自由分发的代码，但并不总是关闭其构建中的已知漏洞。