Livingsocial密码泄露影响了5000万个帐户

LivingSocial说，网络攻击者最近违反了LivingSocial的系统，并非法访问了超过5000万用户的客户信息。 用户需要立即更改密码。

正如PCMag.com昨天报道的那样，LivingSocial向所有受影响的客户发送了数据泄露通知电子邮件，通知他们发生了网络攻击，从而导致未经授权的客户数据访问。 据LivingSocial称，可能有超过5000万个帐户受到影响，这是今年以来最大的密码泄露事件之一。

目前尚不清楚该漏洞是如何发生的，还有哪些其他信息被盗。 Trusteer的高级安全策略师George Tubin告诉 SecurityWatch ，在这类事件中，攻击者通常会通过在员工设备上秘密安装恶意软件然后闯入网络，直到找到敏感系统，从而闯入。

供应商“应该期望黑客将他们的系统作为目标，以获取客户数据或敏感的公司信息，” Tubin说。 在这一点上，“很明显，这些提供商根本没有采取足够的措施来保护其客户的信息，” Tubin说。

盐腌，散列的密码不防破解

这是一个很好的迹象，表明LivingSocial已对其密码进行了哈希处理和添加盐分，因为这会使攻击者有所放慢，但是“这不会阻止”攻击者尝试并成功找出原始密码，安全高级经理Ross Barrett Rapid7的工程师告诉《 安全 观察》。 巴雷特说：“虽然加盐会减慢​​破解过程的速度，但最终，攻击者或其网络将获得他们所关注的信息。”

散列是一种单向加密，其中始终为特定输入获得相同的输出，但是不可能从散列开始并确定原始字符串是什么。 攻击者经常依赖彩虹表，一系列巨大的字典，其中包含每个可能的字符串（包括字典单词，常用姓氏，甚至是歌词）以及相关的哈希值。 攻击者可以将密码表中的哈希与Rainbow表进行匹配，以查找生成代码的原始字符串。

盐化是指在创建哈希之前将额外信息添加到原始输入字符串的过程。 由于攻击者不知道多余的数据是什么，因此破解哈希值变得更加困难。

但是，问题在于LivingSocial使用SHA1生成哈希（一种较弱的算法）。 像另一种流行的算法MD5一样，SHA1旨在以最少的计算资源快速运行。

考虑到硬件和黑客技术的最新进展，SHA1哈希（即使是加盐的）也不是防裂的。 使用bcrypt，scrypt或PBKDF-2，LivingSocial会更好。

立即更改这些密码

LivingSocial已抢先为所有用户重置密码，用户应确保选择其他地方没有使用的新密码。 许多人倾向于在站点之间重用相同的密码。 如果用户在其他站点上使用LivingSocial密码，则也应立即更改这些密码。 一旦破解了密码，攻击者便可以针对流行的服务（例如电子邮件，Facebook和LinkedIn）尝试使用密码。

巴雷特说：“这些违规行为再次提醒了为什么保持良好的密码卫生和对所有帐户和网站使用不同的密码如此重要”。

攻击者还可以使用出生日期和名字来制作网络钓鱼和其他社会工程活动。 他们可以参考这些详细信息，以诱使用户认为这些是合法消息。 巴雷特说，被盗的数据将“在很长一段时间内助长攻击。”

Barrett说，LivingSocial违规行为“再次提醒组织将继续将其宝贵的客户数据作为攻击目标。”