社交網(wǎng)站LinkedIn遭遇到大規(guī)模密碼泄漏安全事件已經(jīng)不是什么新聞，目前它正在調(diào)查由幾家安全公司發(fā)布的報告，報告稱可能影響到超過600萬名用戶。“我們的團隊在繼續(xù)調(diào)查，但是此刻我們?nèi)匀粺o法證實已經(jīng)發(fā)生了任何安全泄密事件。”LinkedIn的公共關(guān)系聯(lián)絡(luò)員Erin O'Harra對于該消息如是說。

據(jù)稱在星期二LinkedIn網(wǎng)站攻擊中失竊的密碼被發(fā)布在俄羅斯的某個黑客論壇上。這些發(fā)布的內(nèi)容包括一個含有640萬個密碼的巨型文件。該文件沒有用戶名。LinkedIn網(wǎng)站宣稱全球有1億6100萬名會員。

Rapid7公司安全研究員Marcus Carey表示，看起來這些密碼是使用SHA-1算法來哈希得出。該算法是一種弱算法，通常只用于校驗文件的完整性。最佳實踐要求哈希密碼時使用隨機salt方案，以便進(jìn)一步混淆密碼字符串的內(nèi)容。

“我們知道的就是在安全社區(qū)已經(jīng)有好幾個人驗證過他們的LinkedIn站點密碼哈希值在那個密碼dump文件中，”Carey在與SearchSecurity.com網(wǎng)站的訪談中表示。“所有這一切都表明這是一場大規(guī)模的web站點泄漏事件。”

Rapid7公司的Carey以及其它幾家安全公司的研究員警告LinkedIn站點的帳號持有人為了安全起見要修改他們的密碼。 Carey表示一旦調(diào)查者判定已經(jīng)發(fā)生泄漏事件后，很有可能LinkedIn網(wǎng)站會強迫它的所有用戶修改他們的密碼。

發(fā)布在俄羅斯站點的該密碼文件仍然可被公共訪問。它們包括一個巨型的RAR文件，有用戶密碼以及一份更小的zip文件。該zip文件包括通過暴力破解攻擊竊取到的大約16萬個密碼，據(jù)Rapid7公司的Carey表示。

Websense有限公司的安全研究主任Patrik Runald表示，存儲用戶帳號的數(shù)據(jù)庫應(yīng)該使用防火墻來保護(hù)。并且可以采取額外的措施來保護(hù)web服務(wù)器，以及用于訪問web站點帳戶的web應(yīng)用。

“此刻還有很多我們不了解的事情，”Runald談到，告誡人們不要妄下結(jié)論。 “我們不知道是否該泄密事件是通過公共可訪問的機器、還是借助一些內(nèi)部的方式。”

攻擊者通常使用自動化的工具來尋找web站點的漏洞、以及web應(yīng)用的缺陷。SQL注入作為最為常見的一種攻擊方式，一直被用于獲得對密碼數(shù)據(jù)的訪問。

在初始調(diào)查后LinkedIn重設(shè)受到影響帳號的密碼

周三LinkedIn站點提供了更新內(nèi)容，證實了“一些LinkedIn帳號的密碼被泄漏。”該社交網(wǎng)站沒有聲明是否它的系統(tǒng)遭到入侵。LinkedIn公司的首席產(chǎn)品經(jīng)理Vicente在一篇關(guān)于公司調(diào)查事件的博客中談到，該公司正在讓該密碼文件中包括的密碼無效，并且通過郵件通知受到影響的用戶，指導(dǎo)他們重設(shè)密碼。由于安全的原因，在LinkedIn網(wǎng)站發(fā)布的消息中不會有任何鏈接，Silveira寫到。

“這些受到影響的會員會收到來自我們客戶支持團隊的第二封郵件，提供關(guān)于這個情況的更多內(nèi)容，以及為什么要求他們修改密碼。”Silveira寫到。Silveira也表示最近該公司在它的密碼哈希數(shù)據(jù)庫中增加了salt值。

范圍擴大至eHarmony約會web站點

在LinkedIn站點的密碼被泄漏后，約會站點eHarmony也加入到前者重設(shè)帳戶憑證的隊伍中。“會員們會收到一封郵件指導(dǎo)如何重設(shè)他們的密碼，”該公司表示。