LinkedIn账户密码泄露,钓鱼邮件蜂拥而至

linkedin hacked-账户密码泄露

由于LinkedIn用户多为“含金量”较高的职业人士,LinkedIn失窃的账户密码对于钓鱼邮件和网络不法分子来说格外具有吸引力。

本周三,知名专业社交网站LinkedIn爆出部分用户账户密码失窃,LinkedIn主管文森特·希尔维拉(Vicente Silveira)在其个人博客中证实了此事。根据Venturebeat的报道,650万被破解的LinkedIn账户密码列表已经被上传至一家俄罗斯黑客服务器(哈希加密非明文),但目前尚不能确认这是否是被破解账户的总数。

虽然LinkedIn已经废止了被黑账户的密码且已经发出官方邮件指导被黑用户重新设定密码的同时警惕钓鱼邮件(含有网址链接)。但钓鱼邮件反应神速,据悉目前已经有无法分子开始利用被泄露的账户邮件地址发送含有伟哥网址的钓鱼邮件。Eset安全研究员卡梅隆坎普就在其博客中披露已经有相当多密码失窃账户受到假冒LinkedIn官方邮件的钓鱼邮件。

由于目前尚无法明确界定被黑账户范围,故所有LinkedIn用户都应当尽快修改自己的账户密码以防万一。但务必注意要在LinkedIn网站中修改,不要执行任何邮件中所谓的“账户操作指示”或“账户密码认证确认信息”。对于用户来说麻烦也许才刚刚开始,因为所有与LinkedIn账户使用相同邮件密码的网络账户也需要进行修改。

专业社交网站LinkedIn出现如此重大的安全事故对于LinkedIn的高端商务社交品牌来说是个不小的打击。

根据Cnet报道,密码技术公司密码研究(Cryptography Research)首席科学家兼总裁保罗·科切(Paul Kocher)表示,LinkedIn为密码加密采用了SHA-1算法,但没有使用增加密码破解难度的正确隐藏技术。隐藏密码采用的是加密散列函数,但对每一个密码而言,这些散列函数并未采用独一无二的“腌制”过程。如果黑客发现了一个猜测密码的匹配散列函数,那么该散列函数将适用于其它使用同一密码的账户。

科切说:“LinkedIn出现两个重大失误:首先,LinkedIn没有对人们重复搜索每个账户时的密码进行分散,其次是LinkedIn没有隔离管理用户数据。更糟糕的是,LinkedIn直接将密码放在文件中,几乎没有”腌制”过程。”

安全密码专家丹·凯明斯基(Dan Kaminsky)发布Twitter信息称:“腌制将为linkedIn密码数据集破解增加22.5倍的复杂性。”

LinkedIn方面目前正在调查密码被黑事件,并采取措施提高网站的安全性措施,包括对当前密码数据库的散列和腌制。

值得注意的是,外界对LinkedIn的密码泄漏事件的调查还连带暴露出一个类似Path的用户隐私问题:之前研究人员发现LinkedIn移动应用会不经用户允许悄悄从日历资料向外发送数据,其中包括密码和会议纪录,在用户毫不知情的情况下将数据传回LinkedIn服务器。该消息披露后,LinkedIn表示将终止日历发送会议纪录数据。LinkedIn解释称日历同步功能是可选功能,可以关闭,此外LinkedIn并未在服务器上存储任何用户隐私数据,而且对传输过程中的数据进行了加密。

鉴于LinkedIn此次泄露的账户密码也都经过加密,所以广大网络用户不能将个人数据安全和隐私保护寄托于某家网站的“专业技术”,而是要加强个人信息安全意识,制定行之有效的个人信息安全管理“制度”。

图片:pcword

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:


关于作者

        在TMT领域具有十余年的咨询和创业经验。 目前主要关注信息安全,同时密切关注云计算、社会化媒体、移动、企业2.0等领域的技术创新和商业价值。拥有美国麻省理工学院MBA学位和清华大学经济管理学院学士学位,曾任BDA中国公司高级顾问,服务过美国高通、英特尔、中国网通、SK电讯、及沃达丰等公司。联系邮件:wangmeng@ctocio.com