大量的Tokopedia数据泄露中隐藏的密码和密码重置代码已泄漏

上周，数据泄露监视服务Under Breach在一个受欢迎的黑客论坛上注意到了一个有趣的帖子。作者提供了免费提供的1500万条用户记录，这些记录是从Tokopedia（印度尼西亚最大的电子商务平台之一）窃取的。数据在今年3月被盗，共享者声称这是一个更大的转储的一部分，他打算将其变现。的确，一天之后，《突破》（Under the Breach） 说 “同一个演员”正在一个黑暗的网络市场上以5000美元的价格卖出9100万张Tokopedia唱片。

可以预见的是，人们开始提出问题，并且Tokopedia并没有否认违规，而是与一些印度尼西亚政府机构的代表举行了会议，以解决问题。据《雅加达邮报》报道 ，在此期间，该国通讯和信息大臣约翰尼·普拉德（Johnny Plate）向购物者保证，购物者的“用户帐户和财务数据是安全的”。但这是真的吗？

黑客窃取了散列密码，并试图找到一种破解它们的方法

起初似乎有点奇怪。一方面，数据确实被盗，但另一方面，人们无需担心自己的帐户。造成混淆的原因是《雅加达邮报》没有与读者分享技术细节。幸运的是， ZDNet做到了。

好消息是，Tokopedia不会以明文形式存储密码。当他免费共享前1500万条记录时，负责此漏洞的人请他的其他黑客帮助他破解存储在数据库中的登录凭据。根据ZDNet，这绝非易事。密码显然用SHA2-384进行了哈希处理，黑客本人也承认他无法窃取用于提高哈希算法安全性的加密盐。结果，将这些哈希值转换为纯文本密码并登录到人们的帐户将非常困难。

这就是为什么约翰尼·帕特尔（Johnny Plate）说Tokopedia用户帐户是安全的，这就是为什么黑客以相对较低的$ 5,000出售转储的原因。不幸的是，这并不意味着人们应该放松。

受影响的Tokopedia用户面临许多威胁

正如ZDNet指出的那样，SHA2-384可能被认为是安全的，但这并不意味着它是绝对可靠的。例如，最近，黑客从Quidd（一个用于交易数字收藏品的平台）窃取了一个数据库，最初让他们失望的是得知密码已使用bcrypt（另一种强大的哈希算法）进行了哈希处理。一些骗子确实决定放手一搏，但是不可避免地，一部分哈希被破解了。

即使没有密码，使用Tokopedia数据的人也可能会发现许多攻击机会。浏览完初始转储的副本后，ZDNet说，记录包含很多个人信息，例如姓名，电子邮件，出生日期，以及大量个人资料特定的详细信息，例如帐户创建日期，位置信息，教育，显然，密码重置代码也被泄露，尽管仍不清楚它们是否有效。

这是一次大规模的数据泄露，黑客窃取了很多信息，这可以帮助网络犯罪分子设计出多种不同的骗局。从现在开始，Tokopedia帐户所有者应该更加谨慎。