Hogy félreértés ne essék: a zenehallgatási szokásainkat figyelő és összesítő közösségi szolgáltatást, a Last.fm-et 2012 márciusában törték meg, a fejlesztők csak három hónap után jutottak oda, hogy bevallják és felszólítsák a felhasználóikat arra, hogy váltsanak új jelszavakra, a biztonság kedvéért erősebbekre. Az igazi gond inkább ott van, hogy mostanra derült ki: mennyi adat is került illetéktelen kezekbe.
A LeakedSource oldal adatai szerint – ők a közösségi oldalak adatlopásait figyelik és indexelik is egyben – négy éve 43 570 999 felhasználó adatait lopták el. Ezen rekordokban felhasználónevek, MD5-hashelt jelszavak, emailcímek, regisztrációs dátumok, illetve hirdetéssel kapcsolatos adatok foglaltak helyet, az adatbázis pedig most kezdett el kikerülni, úgyhogy, írják az érintett biztonságtechnikai oldalak, írja a LeakedSource és írjuk mi is, aki 2012 óta nem váltott jelszót, az egyfelől nézzen magába, másfelől sürgősen váltson egy olyanra, amit nem használ máshol és nem könnyű feltörni.
Hogy a történetből haza is tudjuk valamit vinni: a last.fm adatvesztése céges és felhasználói szempontból is problémás. Céges vonatkozásból azért, mert a jelszavak titkosításához MD5-öt használtak, egy olyan egyirányú kódolási algoritmust, aminek használatát már vagy tíz éve nem javasolja senki a szakmában, ennek biztonságosságát mi sem példázza jobban, hogy a közel 44 millió jelszó 96%-át két óra alatt fel lehetett törni. (Tehát: ha bármikor felmerül az MD5 használata, a válasz egyértelmű nem.)
A felhasználói oldalról legalább ekkora gondok voltak és ahogy ismerjük a felhasználókat, még a mai napig vannak is. A Leakedsource statisztikáiból ugyanis kiderül, hogy: 255,319-en használták az „123456” jelszót, 92,652-en a „password”-öt, csaknem 67 ezren a „lastfm”-et, majdnem 64 ezren az „123456789”-et, közel 46 ezer felhasználó szerint elég volt a „qwerty”, 36 ezren pedig legalább eljutottak oda, hogy kombinálják a számokat és a betűket is, szerintük jó döntés volt az „abc123”.
Ha nem érezzük a fontosságát annak, hogy erős jelszavunk legyen, nézzük meg a Computerphile fenti videóját arról, hogy a különböző bonyolultságú jelszavakat mennyire könnyű és időigényes feltörni, illetve futtassunk le emailcímünkön egy keresést a LeakedSource adatbázisában, biztos ami biztos.
