Ο ανεξάρτητος ερευνητής ασφαλείας, Troy Hunt, αποκάλυψε χθες ότι έλαβε ένα data dump που περιέχει 65.469.298 e-mail και κατακερματισμένους (hashed) κωδικούς πρόσβασης, τo οποίo ο ανώνυμος δωρητής του είπε ότι ανήκει στους Tumblr χρήστες.
Ο ερευνητής εντόπισε το data dump στην The Real Deal Dark Web αγορά, όπου ένας χάκερ με το όνομα Peace (επίσης γνωστός και ως Peace_of_mind) το πουλάει για 0.4255 Bitcoin ($225).
Ο ερευνητής αναφέρει ότι οι κωδικοί πρόσβασης που περιλαμβάνονται στο data dump φαίνεται να είναι τόσο hashed όσο και salted, που σημαίνει ότι είναι πολύ πιο ασφαλείς σε σύγκριση με την κατάσταση στην οποία οι κωδικοί πρόσβασης αποθηκεύονται σε ιστοσελίδες, όπως το LinkedIn και το MySpace, επίσης, πρόσφατα θύματα μαζικής παραβίασης δεδομένων. Σε αυτές τις δύο περιπτώσεις, τα δεδομένα ήταν hashed μόνο μέσω SHA1 και η ομάδα της LeakedSource κατάφερε να σπάσει τους περισσότερους από τους κωδικούς που είχαν διαρρεύσει.
Το Tumblr δεν έχει βγάλει κάποια επίσημη δήλωση για το περιστατικό ακόμα, αλλά η blogging πλατφόρμα της Yahoo μίλησε ανοιχτά στις 12 Μαΐου για μια πιθανή παραβίαση δεδομένων.
Τότε, η ομάδα του Tumblr είχε αποκαλύψει ότι δέχθηκε ένα tip σχετικά με μια πιθανή παραβίαση δεδομένων που προέρχονται από το 2013, πριν η Yahoo αποκτήσει την Tumblr πλατφόρμα.
Η ομάδα του Tumblr δεν αποκάλυψε τον αριθμό των χρηστών που επηρεάστηκαν, αλλά είπαν ότι είχαν αρχίσει μια διαδικασία επαναφοράς κωδικών πρόσβασης για τους χρήστες που πιστεύουν ότι επηρεάστηκαν.
Τα τελευταία στατιστικά στοιχεία χρηστών του Tumblr αποκάλυψαν ότι η πλατφόρμα έχει περίπου 550 εκατομμύρια χρήστες, το οποίο σημαίνει ότι επηρεάστηκε πάνω από το ένα όγδοο της userbase του site.
Ο Troy Hunt είναι ο άνθρωπος πίσω από την online υπηρεσία Have I’ve Been Pwned, όπου οι χρήστες μπορούν να αναζητήσουν σε μια γιγαντιαία βάση δεδομένων, στοιχεία από δημόσιες παραβάσεις. Ο Hunt είπε ότι πρόσθεσε τα δεδομένα του Tumblr στη βάση δεδομένων και οι χρήστες μπορούν τώρα να αναζητήσουν και να δουν εάν τα στοιχεία τους εκτέθηκαν .
Ο Peace, ο χάκερ που πουλάει τα δεδομένα, είναι το ίδιο πρόσωπο που διέθεσε προς πώληση τα data dumps των MySpace και LinkedIn, αλλά και άλλων online υπηρεσιών, όπως το Fling.com και το Linux Mint φόρουμ.
