又來了!Linkedin 四分之一用户信息落入黑客手中

雷鋒網 於 19/05/2016 發表 收藏文章
你還記得前兩天在黑市叫賣成人網站用户信息的黑客:“Peace_of_mind”嗎?

看起來這個黑客已經成為衝破各種網站,決堤個人信息的金字招牌了。就在昨天,他又在暗網

市“TheRealDeal”裏“上架”了新貨:著名職場社交平台領英(Linkedin)1.67億的用户信息。準確地説,是167370910個個人數據。這麼龐大的數據售價自然不菲,達到了5比特幣,相當於1.5萬人民幣。


【黑客登出的“領英”個人信息交易信息】

做生意講究誠信,Peace_of_mind 表示,這些數據當中,只有1.17億包含了完整的用户名和密碼信息。而這些密碼信息,也是經過哈希算法加密的,需要破解之後才能使用。

專門研究個人信息安全的機構“我是不是被搞了(Have I Been Pwned?)”的一名研究員在Twitter發文説:我研究了這1.67億用户數據中的一部分,看起來這些信息非常可能是真實的。

根據領英最新的用户數據資料,目前這個全球最大的職場社交網站擁有4.33億註冊用户。也就是説,每四個用户中,就有一個人的密碼被黑客掌握。

然而,這些數據並不是最近才被竊取的。早在2012年,領英就遭遇過一次重大的攻擊。而 Peace_of_mind 也直言不諱,表示這些數據就是當年那次攻擊取得的。事實上,當年在攻擊事件發生之後,隨即有650萬用户信息被泄露在互聯網上,而領英當時保持了沉默,直到大家都漸漸淡忘這件事情,領英也沒有透露究竟這次數據泄露有多嚴重。

不過剛才提到,這些用户信息的密碼是以“SHA-1”的哈希加密的方式存儲的,那麼這樣的數據可以被壞人利用嗎?騰訊電腦管家安全專家劉釗對雷鋒網表示:

引用目前因為密碼位數不夠等潛在風險,SHA-1正在被淘汰,替換成了更多密碼位數的SHA-256、SHA-512等,但就SHA-1本身的破解難度還是很大的。這次泄漏的數據有一個致命弱點,就是沒有“加鹽”,所謂“鹽”就是和每個用户唯一匹配的字符串。加鹽之後的密文不是簡單對應密碼的明文,還要加入這個字符串才能顯露真身。

360安全專家宋申雷告訴雷鋒網,

引用這些沒有“加鹽”的密碼破譯起來難度大大降低。對於這些密碼的破譯方式一般是採用大量的常用密碼生成SHA-1做比對,一旦比對一致,就破譯了這個密碼。以現在計算機的硬件水平,對於一個簡單的密碼,能夠做到“秒破”。對於一些複雜的密碼,則需要更長的時間。

也就是説,無論是誰購買了這些資料,他們可能不會馬上破解這些密碼,但是隨着時間的推移,所有的密碼都會被破譯,而且越簡單的密碼被“攻陷”得越快。

國外安全研究員根據泄露的密碼進行了簡單的統計,總結出排名前五的密碼:


雷鋒網(搜索“雷鋒網”公眾號關注)表示吐槽無力。用這麼簡單的密碼,是不想好好生活了嗎?

而且,就算這些數據是2012年泄露的,但是我敢肯定有一大部分人在這四年當中沒有修改過密碼。對於中國人而言,很多身邊的童鞋可能只是註冊過這個平台,並沒有深度使用。不過為了保險起見,你最好動動手指,登陸修改一下自己的密碼。


資料來源:雷鋒網
作者/編輯:史中·方槍槍
標籤: Linkedin  

留言


請按此登錄後留言。未成為會員? 立即註冊
    快捷鍵:←
    快捷鍵:→