社交网站LinkedIn遭遇到大规模密码泄漏安全事件已经不是什么新闻,目前它正在调查由几家安全公司发布的报告,报告称可能影响到超过600万名用户。“我们的团队在继续调查,但是此刻我们仍然无法证实已经发生了任何安全泄密事件。”LinkedIn的公共关系联络员Erin O'Harra对于该消息如是说。
据称在星期二LinkedIn网站攻击中失窃的密码被发布在俄罗斯的某个黑客论坛上。这些发布的内容包括一个含有640万个密码的巨型文件。该文件没有用户名。LinkedIn网站宣称全球有1亿6100万名会员。
Rapid7公司安全研究员Marcus Carey表示,看起来这些密码是使用SHA-1算法来哈希得出。该算法是一种弱算法,通常只用于校验文件的完整性。最佳实践要求哈希密码时使用随机salt方案,以便进一步混淆密码字符串的内容。
“我们知道的就是在安全社区已经有好几个人验证过他们的LinkedIn站点密码哈希值在那个密码dump文件中,”Carey在与SearchSecurity.com网站的访谈中表示。“所有这一切都表明这是一场大规模的web站点泄漏事件。”
Rapid7公司的Carey以及其它几家安全公司的研究员警告LinkedIn站点的帐号持有人为了安全起见要修改他们的密码。 Carey表示一旦调查者判定已经发生泄漏事件后,很有可能LinkedIn网站会强迫它的所有用户修改他们的密码。
发布在俄罗斯站点的该密码文件仍然可被公共访问。它们包括一个巨型的RAR文件,有用户密码以及一份更小的zip文件。该zip文件包括通过暴力破解攻击窃取到的大约16万个密码,据Rapid7公司的Carey表示。
Websense有限公司的安全研究主任Patrik Runald表示,存储用户帐号的数据库应该使用防火墙来保护。并且可以采取额外的措施来保护web服务器,以及用于访问web站点帐户的web应用。
“此刻还有很多我们不了解的事情,”Runald谈到,告诫人们不要妄下结论。 “我们不知道是否该泄密事件是通过公共可访问的机器、还是借助一些内部的方式。”
攻击者通常使用自动化的工具来寻找web站点的漏洞、以及web应用的缺陷。SQL注入作为最为常见的一种攻击方式,一直被用于获得对密码数据的访问。
在初始调查后LinkedIn重设受到影响帐号的密码
周三LinkedIn站点提供了更新内容,证实了“一些LinkedIn帐号的密码被泄漏。”该社交网站没有声明是否它的系统遭到入侵。LinkedIn公司的首席产品经理Vicente在一篇关于公司调查事件的博客中谈到,该公司正在让该密码文件中包括的密码无效,并且通过邮件通知受到影响的用户,指导他们重设密码。由于安全的原因,在LinkedIn网站发布的消息中不会有任何链接,Silveira写到。
“这些受到影响的会员会收到来自我们客户支持团队的第二封邮件,提供关于这个情况的更多内容,以及为什么要求他们修改密码。”Silveira写到。Silveira也表示最近该公司在它的密码哈希数据库中增加了salt值。
范围扩大至eHarmony约会web站点
在LinkedIn站点的密码被泄漏后,约会站点eHarmony也加入到前者重设帐户凭证的队伍中。“会员们会收到一封邮件指导如何重设他们的密码,”该公司表示。
