根據 vice 旗下在線雜誌 motherboard 的報道,網名「和平」(Peace)的黑客正在網絡黑市 The Real Deal 出售職業社交網站 Linkedin(領英)的賬號信息。這批資料涉及1.17億個賬號,交易價格是5比特幣(約2200美元),與2012年的數據洩露應為同一批。
另一個付費黑客數據檢索引擎 LeakedSource 也表示已獲得這批賬號信息。一位 LeakedSource 的參與者表示,「現在事情只是浮到表面上。因為沒有傳播開,人們(之前)可能沒太把這當一回事。」「和平」與 LeakedSource 的幕後參與者均表示,被攻擊的數據涉及1.67億個賬號,其中1.17億個賬號擁有郵箱並已被破解密碼。
為了驗證這件事的真實性,互聯網安全研究者 Troy Hunt 甚至自掏腰包買了這批洩露數據。他在 Twitter 上表示,密碼洩露「極有可能」是真的,「我已經驗證了1.67億LinkedIn洩露數據的一部分。」
LinkedIn 隨後發布公告回應,但並未說明受影響的賬號數量。LinkedIn 發言人 Hani Durzy 表示,「我們正採取即時行動作廢受影響賬號的密碼,我們也將聯絡這些用戶以重置密碼。」不過,motherboard 接觸的一位賬號信息被售賣的用戶表示,自己的密碼依然有效,LinkedIn 並未重置密碼。
昨天,我們獲悉一個新的數據包剛剛被黑客發布出來。黑客自稱,這些數據保護 LinkedIn 用戶的電子郵件和散列密碼的組合,同屬於2012年 LinkedIn 被攻擊時洩露的一批數據。
2012年,一份包括650萬個 LinkedIn 賬號密碼信息的文件出現在一個俄羅斯論壇上,LinkedIn 隨後重置了可能被波及的賬號密碼,並建議用戶採用兩步認證。2015年1月,LinkedIn 以累計125萬美元的賠償費,處理了80萬個購買優質服務的客戶的集體訴訟。不過,4年前的問題顯然沒有真正解決。
網絡安全公司 Trend Micro 的首席技術官 Rik Ferguson 指出,此前 LinkedIn 在儲藏密碼時,僅僅「散列」(Hash)密碼而非為密碼「加鹽」(Salt)。「加鹽」是指通過在密碼任意固定位置插入特定的字符串,令其與原始密碼的散列結果不相符,這一做法能有效阻止未經授權的用戶登入。直到2012年出現黑客攻擊事件,LinkedIn 才將密碼設置方式改為「加鹽」,不過這只適用於在那之後註冊的用戶。2012年的數據洩露到底波及多少用戶,依然是未解之謎。
聲音
賬號密碼放在那兒就好像有人可以在你不知道的情況下隨時進入你的私人空間。
太多人為省事把所有密碼設置得一模一樣了,加上還有郵箱信息。買下這批數據的話,盜用用戶的其他賬號簡直太容易了。