Tumblr šele sedaj odkril vdor iz leta 2013

Tumblr je šele 12. maja letos sporočil, da so neznani napadalci leta 2013 vdrli v njihov sistem in pridobili dostop do nekaterih uporabniških podatkov. Danes pa je postalo znano, da je bil napad precej obsežnejši, kot je sprva kazalo. Napadalci so odnesli elektronske naslove in šifrirana gesla vsaj 65 milijonov uporabnikov, kaže analiza Have I Been Pwned. Toda za zdaj kaže, da je imel Tumblr gesla ustrezno shranjena, zato si napadalci z njimi ne morejo nič pomagati.

Paket elektronskih naslovov in gesel, ki so v obliki zgoščene vrednosti SHA1 in imajo dodan naključni sestavni del (salted hash), že kroži po internetnem podzemlju, a ga prav zaradi ustreznega zavarovanja gesel nepridipravi ne morejo prodati za več kot kakšnih 150 evrov. To pa je cena, ki ustreza seznamu elektronskih naslovov. Z drugimi besedami, trenutno so vsi mnenja, da gesel za zdaj ni mogoče. Tumblr je iz gole previdnosti uporabnike vseeno pozval k zamenjavi gesel. S 65 milijoni naslovov in gesel gre za tretji največji vdor za 164-milijonskim vdorom v LinkedIn in 152-milijonskim vdorom v Adobe.

Zanimivo pa je, da za tako velike vdore izvemo šele čez leta. Minuli teden smo izvedeli, da je bil vdor v LinkedIn leta 2012 bistveno večji od takratnih podatkov. Prav tako je šele te dni postalo javno znano, da naj bi napadalci vdrli tudi v MySpace in odnesli več kot 360 milijonov osebnih podatkov. Toliko je elektronskih naslovov, gesel pa je kar 428 milijonov. Ta gesla so shranjena kot vrednosti SHA1, a brez naključnega elementa (salt), zato so številna že zlomili. Seznam je že naprodaj.