阿根廷最大社交网站Taringa遭遇大规模数据泄漏，超过2800万用户数据暴露

关于Taringa

Taringa是一个来自阿根廷的社交网站，有西班牙语及葡萄牙语两个版本，其重要流量来自拉美国家及西班牙，诞生于2004年。在Taringa社区，用户只需在线注册一个账户就能在社区发帖分享信息，如有趣的照片、网络段子、突发新闻文章等。

超过2800万Taringa用户数据泄漏

近日，漏洞通知网站LeakBase报告称，他们已经获得了一个包含28,722,877个帐户的详细信息的泄漏数据库副本，其中包含Taringa用户的用户名、电子邮件地址以及哈希密码（hashed passwords）。

据悉，该哈希密码使用了一种称为“MD5”的老旧算法，该算法早在2012年前就已经被认为是过时的，所以很容易被破解，也就是说对于黑客而言，这些数据就相当于处于毫无防护的公开状态。

想知道MD5算法到底有多弱吗？LeakBase团队已经在短短几天的时间内成功破解了93.79%（约2700万）的哈希密码。

目前，LeakBase已经与外媒网站The Hacker News共享了近450万Taringa用户的泄漏数据，以帮助验证这份泄漏数据库的真实性。

关于泄漏数据中涉及的电子邮箱地址，我们已经使用其纯文本的密码随机联系了其中几个Taringa用户，他们也已经确认了凭证的真实性。

据悉，此次数据泄漏事件发生在上个月，公司随后已经通过博客发帖通知了客户，并分享了更多有关该事件的详细信息。

帖子写道，

攻击者很可能已经破解了包含用户名、电子邮件地址和加密密码的数据库。来自其他社交网络的电话号码和访问凭证以及Taringa项目的比特币钱包等数据并未遭泄漏。目前，没有具体证据表明攻击者在继续访问Taringa代码！我们的安全团队会继续监测基础设施的异常行为，最大限度降低对用户的不利影响。

为了保护其用户，Taringa目前正在通过电子邮件向其用户发送一个密码重置链接，避免继续使用旧密码访问帐户。

Taringa发言人表示，

我们已经制定了大量的密码重置策略，并将密码从MD5转换为SHA256。我们也已经通过客户支持团队与我们的社区取得了联系。 

泄漏数据分析 

研究人员针对泄漏数据库进行了简单的分析，结果显示，无论经过多少次教训和警告，大多数人仍然在继续使用简单的密码来保护他们最敏感的数据。

如下图所示，LeakBase设法破解了28,722,877个密码中的26,939,351个，其中超过1500万个属于独特密码。绝大多数破解的密码是只有字母（30.81%）或小写字母（29.89%），不包含任何特殊字符或符号。

下面我们列出了Taringa用户选择的最受欢迎/常用的密码，其中还包括一些最差的密码，如123456789、123456、1234567890、000000、12345以及12345678等。

分析发现，最受欢迎的密码长度为6个字符，紧接着是8个字符、9个字符以及10个字符。密码长度越长，所占比例也随之大幅下降。

但是，选择弱密码是否完全是Taringa用户的责任呢？不完全是！这也是Taringa公司的责任，因为他们未对其用户实施强力有效的密码策略，而是放任用户使用弱密码进行注册。

数据泄漏后，该公司将责任归咎于最终用户薄弱的密码防护意识，但是他们却忘了为其客户提供一个更强大的密码策略。

截至目前为止，我们尚不清楚此次针对Taringa的攻击事件幕后黑手是谁，以及他们是如何入侵到该公司服务器中的。

与此同时，在另一份新闻中，我们报道了一位不知名的黑客在一个在线网站Doxagram上出售了超过600万个名人Instagram账户的邮件地址以及电话号码等个人信息，其中包括贾斯丁·比伯以及泰勒·斯威夫特等。 

如何防止数据泄漏 

当然，如果你属于潜在受害者行列，强烈建议你立即更改账号密码。此外，更改与Taringa账号密码相同的其他在线账户的密码，避免撞库攻击。

需要注意的是，即便是网站允许你创建一个密码较弱的账号，你也应该尽可能地选择一个较为复杂的密码。如果你觉得这样难以记忆，建议你可以选择使用可靠的密码管理器。

此外，请勿点击电子邮件中任何可疑的链接或附件，并在没有任何验证资源的情况下，提供有关个人或财务方面的信息。