根据 vice 旗下在线杂志 motherboard 的报道,网名“和平”(Peace)的黑客正在网络黑市 The Real Deal 出售职业社交网站 Linkedin(领英)的账号信息。这批资料涉及1.17亿个账号,交易价格是5比特币(约2200美元),与2012年的数据泄露应为同一批。
另一个付费黑客数据检索引擎 LeakedSource 也表示已获得这批账号信息。一位 LeakedSource 的参与者表示,“现在事情只是浮到表面上。因为没有传播开,人们(之前)可能没太把这当一回事。”“和平”与 LeakedSource 的幕后参与者均表示,被攻击的数据涉及1.67亿个账号,其中1.17亿个账号拥有邮箱并已被破解密码。
为了验证这件事的真实性,互联网安全研究者 Troy Hunt 甚至自掏腰包买了这批泄露数据。他在 Twitter 上表示,密码泄露“极有可能”是真的,“我已经验证了1.67亿LinkedIn泄露数据的一部分。”
LinkedIn 随后发布公告回应,但并未说明受影响的账号数量。LinkedIn 发言人 Hani Durzy 表示,“我们正采取即时行动作废受影响账号的密码,我们也将联络这些用户以重置密码。”不过,motherboard 接触的一位账号信息被售卖的用户表示,自己的密码依然有效,LinkedIn 并未重置密码。
昨天,我们获悉一个新的数据包刚刚被黑客发布出来。黑客自称,这些数据保护 LinkedIn 用户的电子邮件和散列密码的组合,同属于2012年 LinkedIn 被攻击时泄露的一批数据。
2012年,一份包括650万个 LinkedIn 账号密码信息的文件出现在一个俄罗斯论坛上,LinkedIn 随后重置了可能被波及的账号密码,并建议用户采用两步认证。2015年1月,LinkedIn 以累计125万美元的赔偿费,处理了80万个购买优质服务的客户的集体诉讼。不过,4年前的问题显然没有真正解决。
网络安全公司 Trend Micro 的首席技术官 Rik Ferguson 指出,此前 LinkedIn 在储藏密码时,仅仅“散列”(Hash)密码而非为密码“加盐”(Salt)。“加盐”是指通过在密码任意固定位置插入特定的字符串,令其与原始密码的散列结果不相符,这一做法能有效阻止未经授权的用户登入。直到2012年出现黑客攻击事件,LinkedIn 才将密码设置方式改为“加盐”,不过这只适用于在那之后注册的用户。2012年的数据泄露到底波及多少用户,依然是未解之谜。