大量的Tokopedia數據洩露中隱藏的密碼和密碼重置代碼已洩漏

上週，數據洩露監視服務Under Breach在一個受歡迎的黑客論壇上註意到了一個有趣的帖子。作者提供了免費提供的1500萬條用戶記錄，這些記錄是從Tokopedia（印度尼西亞最大的電子商務平台之一）竊取的。數據在今年3月被盜，共享者聲稱這是一個更大的轉儲的一部分，他打算將其變現。的確，一天之後，《突破》（Under the Breach） 說 “同一個演員”正在一個黑暗的網絡市場上以5000美元的價格賣出9100萬張Tokopedia唱片。

可以預見的是，人們開始提出問題，並且Tokopedia並沒有否認違規，而是與一些印度尼西亞政府機構的代表舉行了會議，以解決問題。據《雅加達郵報》 報導，在此期間，該國通訊和信息大臣約翰尼·普拉德（Johnny Plate）向購物者保證，購物者的“用戶帳戶和財務數據是安全的”。但這是真的嗎？

黑客竊取了散列密碼，並試圖找到一種破解它們的方法

起初似乎有點奇怪。一方面，數據確實被盜，但另一方面，人們無需擔心自己的帳戶。造成混淆的原因是《雅加達郵報》沒有與讀者分享技術細節。幸運的是， ZDNet做到了。

好消息是，Tokopedia不會以明文形式存儲密碼。當他免費共享前1500萬條記錄時，負責此漏洞的人請他的其他黑客幫助他破解存儲在數據庫中的登錄憑據。根據ZDNet，這絕非易事。密碼顯然用SHA2-384進行了哈希處理，黑客本人也承認他無法竊取用於提高哈希算法安全性的加密鹽。結果，將這些哈希值轉換為純文本密碼並登錄到人們的帳戶將非常困難。

這就是為什麼約翰尼·帕特爾（Johnny Plate）說Tokopedia用戶帳戶是安全的，這就是為什麼黑客以相對較低的$ 5,000出售轉儲的原因。不幸的是，這並不意味著人們應該放鬆。

受影響的Tokopedia用戶面臨許多威脅

正如ZDNet指出的那樣，SHA2-384可能被認為是安全的，但這並不意味著它是絕對可靠的。例如，最近，黑客從Quidd（一個用於交易數字收藏品的平台）竊取了一個數據庫，最初讓他們失望的是得知密碼已使用另一種強大的哈希算法bcrypt進行了哈希。一些騙子確實決定放手一搏，但是不可避免地，一部分哈希被破解了。

即使沒有密碼，使用Tokopedia數據的人也可能會發現許多攻擊機會。瀏覽完初始轉儲的副本後，ZDNet說，記錄包含很多個人信息，例如姓名，電子郵件，出生日期，以及大量個人資料特定的詳細信息，例如帳戶創建日期，位置信息，教育，顯然，密碼重置代碼也被洩露，儘管仍不清楚它們是否有效。

這是一次大規模的數據洩露，黑客竊取了很多信息，這可以幫助網絡犯罪分子設計出多種不同的騙局。從現在開始，Tokopedia帳戶所有者應該更加謹慎。