Um pacote contendo 43,5 milhões de credenciais de acesso ao site de música Last.fm caiu na web na semana passada. Os dados foram roubados do site em 2012, mas só agora estão sendo distribuídos de maneira ampla na web.
De acordo com o site "LeakedSource", uma página especializada em vazamentos de dados que recebeu uma cópia do pacote, são exatamente 43.570.999 credencias no arquivo roubado do Last.fm.
O pacote do Last.fm também é notável por não utilizar um bom mecanismo de proteção nas senhas. Serviços on-line costumam fazer uso de tecnologias de representação numérica ("hash"), que são de via única. Ou seja, é possível converter um valor (uma senha) para sua representação, mas a representação não pode ser convertida de volta para a senha. Graças a isso, o site não precisa armazenar sua senha para saber quando você digita a senha correta: ele apenas calcula a representação, confere com a representação armazenada e depois descarta a senha digitada.
No caso do Last.fm, as senhas estão resguardadas por uma tecnologia conhecida como "MD5", que é considerada fraca para os padrões de hoje. Também não é utilizado o reforço conhecido como "salt". O Dropbox, que foi invadido na mesma época, usava SHA-1 com o reforço do "salt" e estava realizando uma transição para o Bcrypt - ambos mecanismos consideravelmente melhores.
Fonte:G1
Última edição por CCV_Barão; 06-09-2016 às 07:11 PM.