MusicBrainz-Daten-Dump dient als Warnung für Kennwort-Wiederverwendung: Trend Micro

2013-12-28  |  Comebuy News

MusicBrainz, die populärste open Content Musik-Datenbank, weitergegeben Ende März ein Datenbank-Dump stattgefunden hatte, und Benutzerinformationen hatte heruntergeladen wurden.

Comebuy Verwandte Artikel: Trends widerspiegeln-feeds Benutzer follow'Browser Crasher "Links verteilt japanische Benutzer Mannschaften oben mit Sicherheitsanbieter, bietet kostenlose Antivirus-Software von fünf Sicherheits-Bedrohungen in einem week40 % der Teenager getroffen habe in online-Konten gehackt

Eines dieser Deponien enthaltenen Passwort-Hashes für einen großen Teil der MusicBrainz-Konten und die Website reagiert durch Löschen und ersetzen es mit korrekt sterilisierten Datenbank-Dumps.

Obwohl die Website eingesteht, keine Ahnung zu haben, wo sind die Daten nun liegt, bittet sie alle Benutzer ihre Kennwörter ändern.

MusicBrainz hat versucht, den Vorfall herunterzuspielen, indem Sie sagen, dass die Passwort-Hashes weder nützlich noch verbreitet sind und die Daten nicht Angreifer Benutzerkennwörter abrufen können sollte.

Ohne zu sehen, die gestohlenen Daten in Frage, Trend Micro A/NZ strategische Produkte senior Manager, Adam Biviano, sagte es ist schwierig, festzustellen, ob Benutzer-Passwörter in Gefahr, als es sind abhängig von den Hash-Algorithmus, der verwendet wurde.

"Wir in dem letzten Verstoß gegen eine der ABC-Websites sah, dass der Hash-Algorithmus einen Angreifer ganz einfach entdecken viele Passwörter erlaubt," sagte er.

"Auch mit einem starken Hashalgorithmus zwingen einfache Kennwörter wie häufig vorkommende Wörter leicht sind zu entdecken, die mithilfe von einen Brute Wörterbuch-Angriff gegen den Hash-Inhalt."

In Reaktion auf die Situation sagte MusicBrainz es seiner Datenbank dumping Skripts konkret über welche Daten exportieren zur Vermeidung von zukünftigen Lecks von privaten Daten angepasst werden.

Biviano sagte der Daten-Dump-Vorfall ist nicht nur auf MusicBrainz, fügte hinzu, dass "diese Angriffe sind häufiger als [er] gerne sehen würden."

"Das ABC wurde Opfer dieses Problem gerade vor kurzem, und ich bin nicht überrascht, wenn ich dieser Vorfälle hören, wie es scheint ganz alltäglich in diesen Tagen sein" sagte er.

Passwort-Schutz

Als ob es etwas ein Benutzer tun kann, um derartige Vorfälle schützen, Biviano ist es vor allem bis zu der Site Administrator oder Besitzer sagte, um Schutz zu bieten.

Allerdings sind die Individuen in der Lage, bestimmte Schritte zur Minimierung der Auswirkungen auf sich zu nehmen.

"Wenn sie den gleichen Benutzernamen und das Passwort-Kombination für mehrere verschiedene Websites wiederverwenden, dann wenn ihr Kennwort für eine ermittelt wird dann ein Angreifer möglicherweise übernehmen viele online-Dienste, die das Individuum auf zugreifen kann," sagte er.

"Wenn sie ein komplexes Kennwort, das kein gemeinsames Wort oder eine Mischung aus Buchstaben und Zahlen verwenden, wenn eine Hashversion für die Öffentlichkeit freigegeben ist sind dann die Chance, dass es geknackt wird viel weniger."

Wenn ein Benutzer über eine e-Mail von einem Websiteadministrator entdeckt, dass ihr Kennwort beschädigt haben, sagte Biviano, sie sollten überlegen, wo sonst sie dieses Kennwort verwendet haben und es zu ändern.

Patrick Budmar deckt Consumer- und Enterprise-Technologie, die Eilmeldung für IDG Communications. Folgen Sie Patrick auf bei @patrick_budmar.

« Back