Skala besar pelanggaran data yang memengaruhi platform blog sosial Tumblr telah terungkap untuk pertama kalinya.
Layanan milik Yahoo mengakui telah diretas pada 2013 tetapi menolak untuk membocorkan berapa banyak akun yang terpengaruh. Menurut pakar keamanan Troy Hunt, peretas berhasil lolos dengan total sekitar 65 juta kata sandi Tumblr, menjadikannya pelanggaran data terbesar ketiga sepanjang masa.
Yang lebih menarik, bagaimanapun, adalah potensi hubungan antara peretasan Tumblr dan pelanggaran LinkedIn yang baru-baru ini terungkap. Yang terakhir adalah pemegang rekor saat ini dalam hal jumlah data yang dicuri, tetapi Hunt juga menarik kesejajaran dengan cara data dijual secara online.
Dalam kedua kasus tersebut, kata sandi yang diekstrak oleh peretas, atau peretas, semuanya tersedia untuk penawar tertinggi di web gelap. Selain itu, listingan yang ditemukan Hunt secara online semuanya dibuat oleh penjual yang sama, akun yang dikenal sebagai "peace_of_mind." Itu tidak berarti bahwa individu adalah orang yang bertanggung jawab atas pelanggaran tersebut, tetapi ini adalah kesamaan lainnya.
Ada juga pelanggaran ketiga, berkenaan dengan jejaring sosial yang dulunya populer tetapi sekarang sudah mati, yang dikabarkan menjadi yang terbesar dari semuanya. Diperkirakan bahwa MySpace diretas pada tanggal yang tidak ditentukan, mungkin selama pertengahan tahun 2000-an, dan 360 juta rekaman telah dicuri. Fakta bahwa semua pelanggaran ini sekarang terungkap adalah indikasi lain bahwa pelakunya mungkin sama, menurut Hunt.
“Ada beberapa pola yang sangat menarik muncul di sini. Salah satunya jelas usia; pelanggaran terbaru dari perselisihan baru-baru ini masih berusia lebih dari tiga tahun, ”kata Hunt. "Data ini telah tertidur (atau setidaknya tidak terlihat oleh publik) untuk jangka waktu yang lama."
Pakar keamanan juga menyarankan perusahaan media sosial untuk melampaui kata sandi untuk melindungi anggotanya.
"Pelanggaran di MySpace dan LinkedIn hanyalah dua contoh lagi yang menyoroti mengapa kata sandi tidak cukup untuk melindungi data sensitif," Vishal Gupta, CEO startup keamanan Seclore, mengatakan kepada Digital Trends. “Solusi keamanan data-sentris adalah kandidat alami untuk melengkapi kata sandi yang semakin melemah. Dengan menerapkan perlindungan pada tingkat data, meskipun peretas berhasil mendapatkan informasi sensitif, data tetap sama sekali tidak dapat digunakan. ”
Penting untuk dicatat bahwa Tumblr mengklaim semua alamat email pengguna yang dicuri berisi kata sandi yang di-salted dan SHA1, yang jauh lebih sulit untuk dipecahkan.