LinkedIn周三证实,至少有一部分账户密码在一次重大安全泄露事故中被盗。
LinkedIn主管Vicente Silveira在公司博客上证实了在周三下午遭到的黑客攻击。同时,他也简单称述了公司现在的应对措施。他写道,那些密码被盗的账户已经失效。
Silveira补充道,密码被盗的账户持有者会收到公司寄出的一封邮件,这会指导他们如何重置密码。他们还会收到公司客服部门发出的第二封邮件,里面是对于这一意外的具体解释。
他也向这些受影响的用户做出了诚恳的道歉,并表示,公司非常注重用户隐私安全。
截止至3月31日,这个以盈利为目的的社交网络在世界各地拥有1亿6100万用户。
背景
LinkedIn的安全专家推测说,这个社交网络的密码数据库可能遭到大范围入侵。最近,一份包含了650万个密码散列值的文件出现在了一个网络论坛上,该论坛总部在俄罗斯。到目前为止,已经破解了其中的20万个。
调查员表示,这份文件仅仅包含了密码的散列值,但却没有用户名或是其他数据,而这些密码都使用了SHA-1算法。但是,鉴于这次泄露事件的严重性,安全专家们还是建议LinkedIn用户立刻重置密码。
这份文件什么时候才会在论坛上消失,这些密码到底源于何处,这些我们现在都不得而知。但是,有迹象表明这确实是泄露于LinkedIn。在已经破解的密码中,有很多都涉及了这个常用术语“LinkedIn”。这是挪威的一个安全专家Per Thorsheim 告诉PCWorld的。
尽管像 Facebook、Twitter,或是其他常见网络的专业术语几乎不可见。Thorsheim是最早几个发现这份含有泄露密码文件的安全调查员。
人们为不同网站设置密码的时候,一种常见的办法就是将网站名加到密码组里。所以可能会有人用“1234Facebook”作为世界上最大社交网络的密码,或是“1234LinkedIn”作为LinkedIn的登录密码,以此类推。因此在看到LinkedIn这个词出现如此多次之后,Thorsheim表示,这很有可能就是LinkedIn的密码。
他还说,除了他本人之外,至少还有12个他十分信任的安全工作者在这份文件中发现了自己的LinkedIn密码的Hash值。
听完Thorsheim的叙述,我查看了这份泄露文件的副本,并用一个SHA-1生成器运行了我的密码,同样的,我也在其中发现了我自己的密码散列值。不过,用其他两位同事的密码进行同样的操作却一无所获。
Hash是什么?
SHA-1Hash是一种算法,它可以将你的密码转换成一套独特的数字和字母。比如说你的密码是“LinkedIn1234”,那该密码的SHA-1十六位进制输出就应该是“abf26a4849e5d97882fcdce5757ae6028281192a”。这时候问题就来了,因为只要知道这个密码是使用SHA-1处理过的Hash值,你就可以快速地发现更多的常用密码。
通常情况下,Hash值之中会增加一个随机字节(这过程被称作加盐),这样的处理会使得人们很难猜测出输出值。但是这些被泄露的密码没有经过这样的处理。
密码数据库包含了完整的独立密码,这也深深困扰着安全调查员们。我们目前还不清楚这些人手上是不是还有其他更多的密码没有公布在网上。有可能,这份文件一次试水,这些人真正想要的是窃取一些更难的密码。我们也不知道,这些攻击者是否拥有密码匹配的的用户名或是其他数据。
关于这个问题,Silveira写道:“不论是已经重置密码的受害用户,还是得益于我们刚刚纠正的安全系统,得以保全密码的用户,这种情况不会造成任何影响。我们增强了公司的安全系统,包括对目前的密码数据库进行Hash加密和加盐。”
然而,Thorsheim说,考虑到已经有650万未加盐的Hash值被暴露,要花费多长时间才能猜出你的密码这已经无关紧要了。这些密码已经被盗的用户还是处于风口浪尖。你可以通过这个链接更改你的密码,单击个人资料照片下的“更改”,就在“密码”旁边。
对于LinkedIn和安全部门来说,这是无比艰难的一周。The Next Web最近报道说,LinkedIn的安卓和IOS手机应用中有一个内置的日历功能,它会将用户数据以纯文本形式发送回LinkedIn服务器。公司回应说,它都是通过一个加密连接发送所有的数据,并且永远不会保存任何的用户数据。
LinkedIn还没有就这一问题回应PCWorld。
发表评论
您还未登录,请先登录。
登录