Dropbox泄密事件仍在蔓延，一家成人网站被爆掉

上周黑客在暗网相继上泄漏了 Dropbox 和 Last.fm 两家公司的上亿条账号密码，暴露了互联网公司在保护用户信息上的严重缺陷。但现在这场“泄密事件”仍没有停止的迹象，最新的消息是黑客团队泄漏了色情网站 Brazzers 近 80 万条用户账号密码。

这个被黑客公布在暗网上的数据库包含条 928072 个账号的信息，其中包括 790724 个不同的电子邮箱地址以及许多用户名和明文密码。

在接受 The Next Web 采访时，Brazzers 的公关经理 Matt Stevens 说“这个数据库最早是于 2012 在我们的 Brazzers 论坛上被泄漏的，但这个论坛由一个第三方机构管理。”

Stevens 说这个“第三方机构”使用的 vBulletin 管理软件上存在的漏洞是数据库泄漏的原因。而为了让用户使用方便， Brazzers 网站和 Brazzers 论坛之间的账号是共享的。

上周一，Dropbox 披露该公司于 2012 年泄漏的 6800 万条用户的账号密码已经流出至暗网中，当时的数据泄漏源于 Dropbox 的一次“安全事故”。

2012 年 Dropbox 官方博客对此事件的解释是“丢失的密码被用于访问 Dropbox 的员工账号，其中包括带用户电子邮件地址的项目文件。我们认为，这一非法访问导致了垃圾邮件的出现。我们对此感到抱歉，并采取了额外的控制措施，确保这种事故不会发生。”

也就是说 Dropbox 一直认为被泄露的只有用户的电子邮箱地址，所以他们才会担心用户受到垃圾邮件的侵染。但实际情况更加可怕，那就是这 6800 万用户的邮箱地址和密码都被泄漏了。

但令人欣慰的是，这些被泄漏的密码是已经被加密过的暗文密码，而不是用户直接输入的明文密码。在 2012 年信息被泄漏之前，Dropbox 曾将自己的加密算法从 SHA-1 升级为 bcrypt，这些密码还采用了随机数据串去强化加密的 salt 技术。也就是说即使黑客拿到了这些密码，他们也只能看到一串没有意义的字符。

而在上周五，黑客又将 2012 年从音乐服务网站 Last.fm 上窃取的 4357 万条用户密码公布在了 LeakedSource 网站上。这个数据库是在 2012 年 5 月 22 日被泄漏的，当时 Last.fm 要求用户重置自己的密码。

LeakedSource 表示，他们花了 2 小时便破解了这个数据库里 96% 的密码，这是因为 Last.fm 用户的密码并没有用 salt 技术加强加密。

在 2012 年 6 月 7 日，也就是密码被泄漏之后，Last.fm 的研发人员 Russ Garrett 就曾在 Twitter 上承认该公司用户密码使用的是 MD5 加密方法，但这种方法早在 2012 年之前就被认定是一种弱加密方法，目前已经有很多网站提供了 MD5 加密的一键破解工具。

根据 LeakedSource 公布的信息，这批被泄漏的数据包括用户的电子邮箱地址、用户名、密码、注册日期和一些 Last.fm 内部的服务数据。

在这些被泄漏的密码中，诸如 123456、password、qwerty、abc123、music 这样的低级别密码也占据了相当大一部分，可见用户对信息安全有多么不重视。

今年 5 月，职业社交网站 LinkedIn 也曾许宣布有 1 亿多条用户的电子邮箱和密码被泄漏至暗网，这些数据同样来自 2012 年的一场黑客攻击。

2012 年 6 月，一个名叫“dwdm”的黑客在一家俄罗斯论坛上公布了 650 万条 LinkedIn 的用户加密密码，随后 LinkedIn 证实有 1 亿用户的账号信息被泄漏。

直到最近，一个名为“Peace”的黑客在暗网上以 5 个比特币(约 2200 美元)的价格公开出售这个数据库。经验证，这个数据库里包含了 1.17 亿LinkedIn 用户的账号密码，而很多用户目前仍在使用这些密码。

有趣的是，2012 年 Dropbox 的用户密码被泄漏的原因就是黑客利用了该公司开发人员的 LinkedIn 账号信息登录了 Dropbox 的后台管理系统。