社交網(wǎng)站LinkedIn遭遇到大規(guī)模密碼泄漏安全事件已經(jīng)不是什么新聞，目前它正在調(diào)查由幾家安全公司發(fā)布的報(bào)告，報(bào)告稱可能影響到超過600萬名用戶。“我們的團(tuán)隊(duì)在繼續(xù)調(diào)查，但是此刻我們?nèi)匀粺o法證實(shí)已經(jīng)發(fā)生了任何安全泄密事件。”LinkedIn的公共關(guān)系聯(lián)絡(luò)員Erin O'Harra對于該消息如是說。

據(jù)稱在星期二LinkedIn網(wǎng)站攻擊中失竊的密碼被發(fā)布在俄羅斯的某個(gè)黑客論壇上。這些發(fā)布的內(nèi)容包括一個(gè)含有640萬個(gè)密碼的巨型文件。該文件沒有用戶名。LinkedIn網(wǎng)站宣稱全球有1億6100萬名會(huì)員。

Rapid7公司安全研究員Marcus Carey表示，看起來這些密碼是使用SHA-1算法來哈希得出。該算法是一種弱算法，通常只用于校驗(yàn)文件的完整性。最佳實(shí)踐要求哈希密碼時(shí)使用隨機(jī)salt方案，以便進(jìn)一步混淆密碼字符串的內(nèi)容。

“我們知道的就是在安全社區(qū)已經(jīng)有好幾個(gè)人驗(yàn)證過他們的LinkedIn站點(diǎn)密碼哈希值在那個(gè)密碼dump文件中，”Carey在與SearchSecurity.com網(wǎng)站的訪談中表示。“所有這一切都表明這是一場大規(guī)模的web站點(diǎn)泄漏事件。”

Rapid7公司的Carey以及其它幾家安全公司的研究員警告LinkedIn站點(diǎn)的帳號(hào)持有人為了安全起見要修改他們的密碼。 Carey表示一旦調(diào)查者判定已經(jīng)發(fā)生泄漏事件后，很有可能LinkedIn網(wǎng)站會(huì)強(qiáng)迫它的所有用戶修改他們的密碼。

發(fā)布在俄羅斯站點(diǎn)的該密碼文件仍然可被公共訪問。它們包括一個(gè)巨型的RAR文件，有用戶密碼以及一份更小的zip文件。該zip文件包括通過暴力破解攻擊竊取到的大約16萬個(gè)密碼，據(jù)Rapid7公司的Carey表示。

Websense有限公司的安全研究主任Patrik Runald表示，存儲(chǔ)用戶帳號(hào)的數(shù)據(jù)庫應(yīng)該使用防火墻來保護(hù)。并且可以采取額外的措施來保護(hù)web服務(wù)器，以及用于訪問web站點(diǎn)帳戶的web應(yīng)用。

“此刻還有很多我們不了解的事情，”Runald談到，告誡人們不要妄下結(jié)論。 “我們不知道是否該泄密事件是通過公共可訪問的機(jī)器、還是借助一些內(nèi)部的方式。”

攻擊者通常使用自動(dòng)化的工具來尋找web站點(diǎn)的漏洞、以及web應(yīng)用的缺陷。SQL注入作為最為常見的一種攻擊方式，一直被用于獲得對密碼數(shù)據(jù)的訪問。

在初始調(diào)查后LinkedIn重設(shè)受到影響帳號(hào)的密碼

周三LinkedIn站點(diǎn)提供了更新內(nèi)容，證實(shí)了“一些LinkedIn帳號(hào)的密碼被泄漏。”該社交網(wǎng)站沒有聲明是否它的系統(tǒng)遭到入侵。LinkedIn公司的首席產(chǎn)品經(jīng)理Vicente在一篇關(guān)于公司調(diào)查事件的博客中談到，該公司正在讓該密碼文件中包括的密碼無效，并且通過郵件通知受到影響的用戶，指導(dǎo)他們重設(shè)密碼。由于安全的原因，在LinkedIn網(wǎng)站發(fā)布的消息中不會(huì)有任何鏈接，Silveira寫到。

“這些受到影響的會(huì)員會(huì)收到來自我們客戶支持團(tuán)隊(duì)的第二封郵件，提供關(guān)于這個(gè)情況的更多內(nèi)容，以及為什么要求他們修改密碼。”Silveira寫到。Silveira也表示最近該公司在它的密碼哈希數(shù)據(jù)庫中增加了salt值。

范圍擴(kuò)大至eHarmony約會(huì)web站點(diǎn)

在LinkedIn站點(diǎn)的密碼被泄漏后，約會(huì)站點(diǎn)eHarmony也加入到前者重設(shè)帳戶憑證的隊(duì)伍中。“會(huì)員們會(huì)收到一封郵件指導(dǎo)如何重設(shè)他們的密碼，”該公司表示。