Remek gyűjtőhelye a felhasználói azonosítók és jelszavak kiszivárgásáról szóló információknak a LeakedSource, számos alkalommal tette már lehetetlenné, hogy az áldozatul esett cégek elsunnyogják a számukra kínos eseményeket. A Last.fm-et a történtek után négy évvel érte utol a végzet: az oldalon napvilágot láttak azok az információk, melyekről a zeneszolgáltatást nyújtó cég nem akart beszámolni ilyen részletesen.

Eszerint 2012. március 22-én 43 570 999 felhasználó adatait lopták el hackerek. Minden bejegyzés tartalmazott egy felhasználónevet, e-mailcímet, jelszót, csatlakozási dátumot és néhány egyéb, belső adatot. „Leellenőriztük az adatok hitelességét a Softpedia riporterével, Catalin C-vel, aki kollégáival együtt annak idején szintén érintett volt”, olvasható a LeakedSource bejegyzésén.

Az üzemeltetők szerint a Last.fm tudott az incidensről, mégsem kommunikált elég gyorsan, sem megfelelő módon az ügyfelekkel. „Jelenleg vizsgáljuk a Last.fm felhasználók jelszavai egy részének kiszivárgását. [..] Elővigyázatosságból arra kérjük felhasználóinkat, hogy azonnal változtassák meg jelszavaikat.” – írták három hónappal (!) az incidens után.

Az emberek sosem tanulnak?

A LeakedSource révén megtudhattuk, mik voltak a leggyakrabban használt jelszavak. Fájdalmasan ismerős és/vagy könnyen kitalálható a lista eleje: az „123456”, a „password” és a „last.fm” vezetett.

Ráadásul a jelszavakat MD5 hash révén tárolták. Ez ugyan eggyel jobb, mintha egyszerű szövegként lettek volna rögzítve az adatok, de egy komolyabb feltörési kísérletnek már nem áll ellen. Az algoritmus ugyanis nem biztonságos; két órányi, nyers erőre alapuló jelszótörési eljárás során az összes jelszó 96 százaléka(!) visszafejthető volt.

Ebben azért az is közrejátszott, hogy a Last.fm nem használta az úgynevezett salting eljárást. A „sózás” során véletlenszerű számsorozatot adnak a hash-hez minden egyes jelszó esetében, amivel jelentősen növelhető biztonságosságuk és lecsökkenthető annak valószínűsége, hogy egy esetleges kiszivárgást követően feltörhetők lesznek.