LiveJournal在2014年洩露了2600萬條記錄，現在已在暗網上出售

甚至安全專家有時也可能是錯誤的。如您中某些人所知，在過去的幾年中，他們一直在爭辯說除非您確定密碼被盜，否則更改密碼是沒有意義的。這種觀點認為，如果網絡罪犯使用您的登錄數據，他們將立即使用它，這意味著任何密碼過期策略極不可能影響您帳戶的安全。所有這一切都有相當多的邏輯，但是在名為LiveJournal的博客平台上發生的數據洩露表明，這種情況並非總是如此。

關於LiveJournal違規，我們有許多未知的事情。但是，我們可以說它確實發生了，並且它發生在不久前。負責HaveIBeenPwned數據洩露通知服務的澳大利亞安全專家Troy Hunt最早在2018年就听說過該攻擊，但直到本月初才有消息來源向他發送了數據庫。數據現在已經很舊了，但是Hunt確認它是真實的，然後將其加載到HaveIBeenPwned中，這意味著，如果您曾經使用過LiveJournal，則可以檢查您的憑據是否受到破壞。

LiveJournal數據庫已經走了很長一段路程

ZDNet是第一個涵蓋此漏洞的網站，儘管該報告相當詳盡，但仍有一個關鍵細節尚不清楚。據它說，該數據是在2014年被盜的，但Troy Hunt顯然被告知它的歷史可以追溯到2017年。有一件事可以肯定–數據一直在運轉。

ZDNet的消息人士稱，在洩露事件發生後不久，該數據庫在網絡犯罪分子之間進行了私下交易。後來，它顯然吸引了更多的聽眾， 證據表明，它被用於類似性扭曲的騙局中 。

去年，現已消失的服務We Leak Info出售了對被盜數據的訪問權，將LiveJournal數據庫添加到其產品組合中，並一直向其客戶提供該服務，直到該域被FBI 佔領為止。

本月初，一個地下市場的用戶發布了該數據庫的廣告，並要價35美元，但後來在黑客論壇上免費共享了該廣告。奇怪的是，黑客聲稱數據庫中有3300萬條記錄，但是據Troy Hunt稱，受影響的帳戶數量剛剛超過2600萬。

LiveJournal不會承認自己的錯誤

記錄包含用戶名，電子郵件地址和純文本密碼，這表明在遭到黑客入侵時，LiveJournal沒有正確存儲其用戶密碼。博客平台要么以純文本格式保存它們，要么使用了弱化的哈希/加密算法，該算法已被網絡犯罪分子破解。不幸的是，這與LiveJournal唯一的錯誤相去甚遠。

儘管多年來一直在討論數據洩露問題，但LiveJournal堅決拒絕承認其係統已受到威脅。即使現在，只需單擊幾下鼠標，下載數據時，該平台的所有者就不會說盜竊是如何發生的或何時發生的。這種行為是完全不可原諒的，其後果現在可見。

Dreamwidth最近發布的一系列帖子顯示，在過去幾個月中，憑證填充攻擊的數量急劇增加。 Dreamwidth最初是LiveJournal的代碼分支，除了大量的源代碼外，它還與被破壞的服務共享很大一部分用戶群。昨天，Dreamwidth的開發人員說 ，據他們稱，峰值之所以增加是由於LiveJournal數據庫現在可以自由浮動。

此事件表明，一旦數據洩漏，就沒有回頭路可走了。甚至數年後，受損的登錄信息也可能成為強大的武器。