這次的 Ashley-Madison 資料外洩

在「Notes on the Ashley-Madison dump」這邊給了這次婚外情約會網站 Ashley Madison 資料外洩的註解,甚至還包括 BitTorrentmagnet:// 下載連結...

將近四千萬筆資料的資料外洩 (實際約三千六百萬),男性為大宗,約 28 million 是男性,5 million 女性 (依據 gender 欄位),有 2 million 無法確認。不過如果交叉比對信用卡資料,會發現只有男性付費:

It's heavily men. I count 28-million men to 5 million woman, according to the "gender" field in the database (with 2-million undetermined). However, glancing through the credit-card transactions, I find only male names.

另外是密碼儲存方式是 bcrypt

Passwords hashed with bcrypt. Almost all the records appear to be protected with bcrypt. This is a refreshing change. Most of the time when we see big sites hacked, the passwords are protected either poorly (with MD5) or not at all (in "clear text", so that they can be immediately used to hack people). Hackers will be able to "crack" many of these passwords when users chose weak ones, but users who strong passwords are safe.

整包是 9.7GB 的壓縮資料... FreeBuf.COM 也整理了一篇:「七夕将至,婚外情网站数据终于裸奔了」。

The Pirate Bay 將全面 Magnet 化...

The Pirate Bay 宣佈將所有的 .torrent 拿掉,改用 Magnet URI:「No more torrents=no changes anyhow」,另外可以參考「The Pirate Bay, Now Without Torrents」這篇。

不過也不是全部拿掉。只有當 .torrent 檔被十個人下載後,The Pirate Bay 才會將 .torrent 下載轉成 Magnet URI 的形式提供後續服務,以確保有足夠的使用者擁有 torrent 檔。這樣使得 The Pirate Bay 的頻寬用量降低,並且拉高阻擋的難度。

PS:imgur 剛好掛掉了,等恢復後再把上面的圖換成 imgur...

Update:imgur 恢復了...

The Pirate Bay (海盜灣) 從 Torrent 檔下載換成 Magnet URI (磁力連結)

The Pirate Bay 將把 torrent 檔下載方式換成磁力連結:「The Pirate Bay Will Stop Serving Torrents」。

Magnet URI 下載 BitTorrent 檔案其實只是多了一個抓 torrent 檔的步驟:首先先從 Magnet URI 內取得 SHA1 值,然後透過 DHT 抓到 torrent 檔的 metadata,然後後面就可以照舊進行... 至於 DHT 的初次建立,除了可以透過中央式的 router.utorrent.com 取得外,也可以透過其他 torrent 檔案下載所提供的 tracker 找到節點。在取得一批節點後,透過 PEX 交換出更多的節點。

DHT + PEX 的技術逐漸成熟 (愈來愈多程式支援),然後是最大的 torrent site 採用。之後的 public torrent site 應該都會改朝這個方向走...

利用 BitTorrent 的設計攻擊網站...

利用 BitTorrent 的 tracker 設計攻擊網站:「BotTorrent? Using BitTorrent as a DDoS Tool」。

文章裡提到 torrent 檔裡面有一個欄位是放 tracker 資訊,當這個 torrent 檔下載的人很多的時候,使用者嘗試連 tracker 的行為就會變成 DDoS 攻擊。同理,由於 Magnet URI 可以帶 tracker 資訊,也可以作同樣的事情...

不過這個方法感覺不太有效率... XD