端聞

LinkedIn 2012年數據洩露門或波及過億用戶,黑客正出售用戶資料


商業客戶導向的社交網絡服務網站Linkedin 。
職業社交網站 Linkedin 的用戶信息被在黑市售賣。攝: Justin Sullivan/Getty

根據 vice 旗下在線雜誌 motherboard 的報道,網名「和平」(Peace)的黑客正在網絡黑市 The Real Deal 出售職業社交網站 Linkedin(領英)的賬號信息。這批資料涉及1.17億個賬號,交易價格是5比特幣(約2200美元),與2012年的數據洩露應為同一批。

另一個付費黑客數據檢索引擎 LeakedSource 也表示已獲得這批賬號信息。一位 LeakedSource 的參與者表示,「現在事情只是浮到表面上。因為沒有傳播開,人們(之前)可能沒太把這當一回事。」「和平」與 LeakedSource 的幕後參與者均表示,被攻擊的數據涉及1.67億個賬號,其中1.17億個賬號擁有郵箱並已被破解密碼。

為了驗證這件事的真實性,互聯網安全研究者 Troy Hunt 甚至自掏腰包買了這批洩露數據。他在 Twitter 上表示,密碼洩露「極有可能」是真的,「我已經驗證了1.67億LinkedIn洩露數據的一部分。」

LinkedIn 隨後發布公告回應,但並未說明受影響的賬號數量。LinkedIn 發言人 Hani Durzy 表示,「我們正採取即時行動作廢受影響賬號的密碼,我們也將聯絡這些用戶以重置密碼。」不過,motherboard 接觸的一位賬號信息被售賣的用戶表示,自己的密碼依然有效,LinkedIn 並未重置密碼。

昨天,我們獲悉一個新的數據包剛剛被黑客發布出來。黑客自稱,這些數據保護 LinkedIn 用戶的電子郵件和散列密碼的組合,同屬於2012年 LinkedIn 被攻擊時洩露的一批數據。

LinkedIn 公告

2012年,一份包括650萬個 LinkedIn 賬號密碼信息的文件出現在一個俄羅斯論壇上,LinkedIn 隨後重置了可能被波及的賬號密碼,並建議用戶採用兩步認證。2015年1月,LinkedIn 以累計125萬美元的賠償費,處理了80萬個購買優質服務的客戶的集體訴訟。不過,4年前的問題顯然沒有真正解決。

網絡安全公司 Trend Micro 的首席技術官 Rik Ferguson 指出,此前 LinkedIn 在儲藏密碼時,僅僅「散列」(Hash)密碼而非為密碼「加鹽」(Salt)。「加鹽」是指通過在密碼任意固定位置插入特定的字符串,令其與原始密碼的散列結果不相符,這一做法能有效阻止未經授權的用戶登入。直到2012年出現黑客攻擊事件,LinkedIn 才將密碼設置方式改為「加鹽」,不過這只適用於在那之後註冊的用戶。2012年的數據洩露到底波及多少用戶,依然是未解之謎。

4
LinkedIn 在全球擁有超過4億用戶,覆蓋200多個國家和地區。

聲音

賬號密碼放在那兒就好像有人可以在你不知道的情況下隨時進入你的私人空間。

一位 LinkedIn 洩漏事件的受害者表示

太多人為省事把所有密碼設置得一模一樣了,加上還有郵箱信息。買下這批數據的話,盜用用戶的其他賬號簡直太容易了。

中國網民

LinkedIn

LinkedIn 成立於2002年,由前 PayPal 執行副總裁 Reid Hoffman 創辦。LinkedIn 是全球最大的職業社交網站,目前用戶人數超過4億,覆蓋全球200多個國家,擁有23種官方語言版本。2011年,LinkedIn 在紐交所上市,2014年,LinkedIn 全球註冊會員超過3億,並開始在中國的布局,簡體中文測試版在當年2月正式上線。2015年,LinkedIn 以15億美元收購在線教育公司 lynda.com。(資料來自維基百科)

來源:BBCRegister紐約時報Motherboard

2017 年 7 月,端傳媒啟動了對深度內容付費的會員機制。在此之前刊發的深度原創報導,都會免費開放,歡迎轉發,也期待你付費支持我們

如果你喜歡,就分享給更多人吧