427 millioner brukerpassord har blitt lekket

Kan ha verdi, selv om de fleste av brukerne har forlatt tjenesten for lenge siden.

Harald BrombachHarald BrombachNyhetsleder
30. mai 2016 - 13:30

Nesten en halv milliard brukerpassord skal ha blitt lekket fra MySpace, den gamle storheten som virkelig fikk merke resultatene av framgangen til Facebook. Tjenesten lever fortsatt og eies av Time Inc. via et datterselskap, men den sosiale nettverkstjenesten er nok mer eller mindre glemt av de fleste av de tidligere brukerne.

Dessverre er det slik at mange bruker den samme kombinasjonen av epostadresse og passord overalt og har gjort dette i årevis. Dermed kan MySpace-lekkasjen utgjøre en sikkerhetsrisiko for mange, selv om det flere år siden de sluttet å bruke tjenesten.

Det er uklart når eller hvordan lekkasjen skal ha skjedd, men samlingen skal nylig ha blitt mottatt av tjenesten LeakedSource, som har analysert dataene og presentert det hele i dette blogginnlegget.

Noen høydepunkter

Selv om samlingen består av 427 484 128 passord, så berører den ikke mer enn drøyt 360 millioner brukerkontoer. Årsaken er at nesten 19 prosent av kontoene har et sekundært passord knyttet til seg.

Passordene er hashet med SHA1, men uten salting, noe som gjør det enklere å avdekke selve passordet. LeakedSource skriver videre at svært få passord er mer enn 10 tegn lange og at de fleste bare benytter små bokstaver og ett eller flere siffer.

Det vanligste passordet er pussig nok «homelesspa», som brukt mer enn 855 000 ganger. LeakedSource mener at dette ser ut til være automatisk generert siden alle de tilknyttede epostadressene har samme format.

Passordet til mer enn 585 000 er «password1», noe som tyder på at MySpace i alle fall har krevd at passordene skal inneholde både bokstaver og siffer.

Det vanligste epostdomene er @yahoo.com. Mer enn 126 millioner av brukerne har oppgitt epostadresse hos Yahoo. Flere detaljer finnes i blogginnlegget.

Nettstedet Motherboard har til en viss grad fått bekreftet at dataene er ekte, ved at de har mottatt korrekt passord til flere faktiske brukerkontoer.

Samme selger

Motherboard skriver dessuten at det angivelig er samme person som står bak denne lekkasjen og lekkasjen av innloggingsinformasjon til mer enn 164 millioner LinkedIn-brukere i midten av mai. Vedkommende kaller seg for Peace. Han skal ha lagt ut begge de to samlingene for salg på

I likhet med LinkedIn-passordene skal også MySpace-samlingen ha blitt lagt ut på den illegale darknet-markedsplassen The Real Deal. Til Motherboard opplyser Peace at prisen er på 6 bitcoin, omtrent 27 000 kroner.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.