社交网站黑色一周：Last.fm账户密码疑遭泄露

继职业社交网站LinkedIn和约会网站eHarmony相继爆出用户账户密码遭黑客攻击泄露事故后，今日音乐社交网站Last.fm又疑似落马。随着密码黑客的猎物范围不断扩大，人们不禁开始产生疑问，这一系列密码连环泄露事故之间是否存在联系？谁是下一个目标？

本周四总部位于伦敦的音乐网站Last.fm告知用户，网站正在调查可能的密码泄露，虽然目前尚未查明证据黑客到底获取和发布了多少账户密码，但Last.fm提醒用户及时修改包括密码在内的账户资料，以下是last.fm的用户通知：

• 近日多家网站的用户密码遭泄露，我们目前也正在调查用户密码泄露情况。作为一种预防措施，我们建议所有用户立刻更改账户密码。
• 我们对修改密码给您带来的不便表示抱歉；Last.fm非常重视用户的隐私。我们将通过论坛和Twitter账户@lastfm及时发布调查的最新进展。

除以上声明外，Last.fm没有发布更多信息，但敦促所有用户修改密码这一建议很明显已经超出了“预防”警报级别，很可能是Last.fm已经内部确认了用户密码泄露的事实，只是损失一时无法评估而已。目前已经有超过1400万LinkedIn和eHarmony的用户账户密码被黑客发布到网上。

LinkedIn、eHarmony和Last.fm的密码泄露都来自一个黑客论坛，而根据Ars Technica的报道，LinkedIn和eHarmony的用户数据泄露都与一个代号“dwdm”的俄罗斯人有关，此人已经在论坛中发布了大量的密码数据。目前该论坛中发布用户密码数据的帖子已经被删掉，而dwdm最初发帖时存储用户数据的网盘Yandex Disk（类似Google Drive）中的数据也一并消失。

下面是dwdm发布的650万个用户密码的快照，其中一大批密码非常职业，包括了大小写字母和数字，很明显来自LinkedIn这样的公司职业人士聚集的社交网站。可以看出，虽然LinkedIn和eHarmony并未像国内某些网站使用明文保存用户账户密码，且用户密码本身的强度不低，但是黑客通过暴力字典攻击依然在短短数小时内快速破解了上百万条用户密码。