社交网站LinkedIn遭遇到大规模密码泄漏安全事件已经不是什么新闻,目前它正在调查由几家安全公司发布的报告,报告称可能影响到超过600万名用户。“我们的团队在继续调查,但是此刻我们仍然无法证实已经发生了任何安全泄密事件。”LinkedIn的公共关系联络员Erin O’Harra对于该消息如是说。 据称在星期二LinkedIn网站攻击中失窃的密码被发布在俄罗斯的某个黑客论坛上。
这些发布的内容包括一个含有640万个密码的巨型文件。该文件没有用户名。LinkedIn网站宣称全球有1亿6100万名会员。 Rapid7公司安全研究员Marcus Carey表示,看起来这些密码是使用……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
社交网站LinkedIn遭遇到大规模密码泄漏安全事件已经不是什么新闻,目前它正在调查由几家安全公司发布的报告,报告称可能影响到超过600万名用户。“我们的团队在继续调查,但是此刻我们仍然无法证实已经发生了任何安全泄密事件。”LinkedIn的公共关系联络员Erin O'Harra对于该消息如是说。
据称在星期二LinkedIn网站攻击中失窃的密码被发布在俄罗斯的某个黑客论坛上。这些发布的内容包括一个含有640万个密码的巨型文件。该文件没有用户名。LinkedIn网站宣称全球有1亿6100万名会员。
Rapid7公司安全研究员Marcus Carey表示,看起来这些密码是使用SHA-1算法来哈希得出。该算法是一种弱算法,通常只用于校验文件的完整性。最佳实践要求哈希密码时使用随机salt方案,以便进一步混淆密码字符串的内容。
“我们知道的就是在安全社区已经有好几个人验证过他们的LinkedIn站点密码哈希值在那个密码dump文件中,”Carey在与SearchSecurity.com网站的访谈中表示。“所有这一切都表明这是一场大规模的web站点泄漏事件。”
Rapid7公司的Carey以及其它几家安全公司的研究员警告LinkedIn站点的帐号持有人为了安全起见要修改他们的密码。 Carey表示一旦调查者判定已经发生泄漏事件后,很有可能LinkedIn网站会强迫它的所有用户修改他们的密码。
发布在俄罗斯站点的该密码文件仍然可被公共访问。它们包括一个巨型的RAR文件,有用户密码以及一份更小的zip文件。该zip文件包括通过暴力破解攻击窃取到的大约16万个密码,据Rapid7公司的Carey表示。
Websense有限公司的安全研究主任Patrik Runald表示,存储用户帐号的数据库应该使用防火墙来保护。并且可以采取额外的措施来保护web服务器,以及用于访问web站点帐户的web应用。
“此刻还有很多我们不了解的事情,”Runald谈到,告诫人们不要妄下结论。 “我们不知道是否该泄密事件是通过公共可访问的机器、还是借助一些内部的方式。”
攻击者通常使用自动化的工具来寻找web站点的漏洞、以及web应用的缺陷。SQL注入作为最为常见的一种攻击方式,一直被用于获得对密码数据的访问。
在初始调查后LinkedIn重设受到影响帐号的密码
周三LinkedIn站点提供了更新内容,证实了“一些LinkedIn帐号的密码被泄漏。”该社交网站没有声明是否它的系统遭到入侵。LinkedIn公司的首席产品经理Vicente在一篇关于公司调查事件的博客中谈到,该公司正在让该密码文件中包括的密码无效,并且通过邮件通知受到影响的用户,指导他们重设密码。由于安全的原因,在LinkedIn网站发布的消息中不会有任何链接,Silveira写到。
“这些受到影响的会员会收到来自我们客户支持团队的第二封邮件,提供关于这个情况的更多内容,以及为什么要求他们修改密码。”Silveira写到。Silveira也表示最近该公司在它的密码哈希数据库中增加了salt值。
范围扩大至eHarmony约会web站点
在LinkedIn站点的密码被泄漏后,约会站点eHarmony也加入到前者重设帐户凭证的队伍中。“会员们会收到一封邮件指导如何重设他们的密码,”该公司表示。
相关推荐
-
CSDN承认对安全问题重视不够
2011年底的密码危机引发了IT界的大讨论:那些放在互联网虚拟世界的个人信息究竟该如何保护?在很多专家看来,此次密码泄露事件正在拷问我国的互联网安全。