根据 vice 旗下在线杂志 motherboard 的报道,网名“和平”(Peace)的黑客正在网络黑市 The Real Deal 出售职业社交网站 Linkedin(领英)的账号信息。这批资料涉及1.17亿个账号,交易价格是5比特币(约2200美元),与2012年的数据泄露应为同一批。
另一个付费黑客数据检索引擎 LeakedSource 也表示已获得这批账号信息。一位 LeakedSource 的参与者表示,“现在事情只是浮到表面上。因为没有传播开,人们(之前)可能没太把这当一回事。”“和平”与 LeakedSource 的幕后参与者均表示,被攻击的数据涉及1.67亿个账号,其中1.17亿个账号拥有邮箱并已被破解密码。
为了验证这件事的真实性,互联网安全研究者 Troy Hunt 甚至自掏腰包买了这批泄露数据。他在 Twitter 上表示,密码泄露“极有可能”是真的,“我已经验证了1.67亿LinkedIn泄露数据的一部分。”
LinkedIn 随后发布公告回应,但并未说明受影响的账号数量。LinkedIn 发言人 Hani Durzy 表示,“我们正采取即时行动作废受影响账号的密码,我们也将联络这些用户以重置密码。”不过,motherboard 接触的一位账号信息被售卖的用户表示,自己的密码依然有效,LinkedIn 并未重置密码。
昨天,我们获悉一个新的数据包刚刚被黑客发布出来。黑客自称,这些数据保护 LinkedIn 用户的电子邮件和散列密码的组合,同属于2012年 LinkedIn 被攻击时泄露的一批数据。
2012年,一份包括650万个 LinkedIn 账号密码信息的文件出现在一个俄罗斯论坛上,LinkedIn 随后重置了可能被波及的账号密码,并建议用户采用两步认证。2015年1月,LinkedIn 以累计125万美元的赔偿费,处理了80万个购买优质服务的客户的集体诉讼。不过,4年前的问题显然没有真正解决。
网络安全公司 Trend Micro 的首席技术官 Rik Ferguson 指出,此前 LinkedIn 在储藏密码时,仅仅“散列”(Hash)密码而非为密码“加盐”(Salt)。“加盐”是指通过在密码任意固定位置插入特定的字符串,令其与原始密码的散列结果不相符,这一做法能有效阻止未经授权的用户登入。直到2012年出现黑客攻击事件,LinkedIn 才将密码设置方式改为“加盐”,不过这只适用于在那之后注册的用户。2012年的数据泄露到底波及多少用户,依然是未解之谜。
声音
账号密码放在那儿就好像有人可以在你不知道的情况下随时进入你的私人空间。
太多人为省事把所有密码设置得一模一样了,加上还有邮箱信息。买下这批数据的话,盗用用户的其他账号简直太容易了。