北京时间6月6日晚间消息,挪威IT网站Dagens IT报道称,商务社交网站LinkedIn的650万用户密码已泄露,并被发布在俄罗斯一家黑客网站上。
信息安全研究人员佩尔·索谢姆(Per Thorsheim)也在Twitter上确认了这一消息,称攻击者已经发布了加密密码,并在寻找帮助破解这些密码。芬兰信息安全公司CERT-FI警告称,尽管黑客并未公布相关的用户信息,但攻击者很可能已获得了这些信息。一名LinkedIn用户也确认,他的密码被泄露。
业内人士认为,对普通用户来说,目前所要做的就是修改自己的密码。LinkedIn已对这一消息做出回应,通过官方Twitter帐号表示正在了解相关报告。
有消息称,超过30万密码已被解密,而更多的密码正在解密过程中。LinkedIn用户总数超过1.5亿,这意味着被泄露的用户密码不到用户总数的10%。不过,受影响的用户仍然很多。
被泄露的密码采用SHA-1加密方式。尽管这种加密方式能确保一定程度的安全,但如果用户采用简单的字典密码,那么加密信息仍可能被破解。
此前还有报道称,LinkedIn的iOS应用会从用户iOS设备的日程表中收集会议信息,并以明文方式发送至该公司服务器。通过应用中的一项功能,这一信息收集过程不需要用户的特别许可。LinkedIn对此表示,将在新版本应用中解决这一问题。
LinkedIn密码泄露编辑本段回目录
iOS 客户端侵犯用户隐私
有人发现 LinkedIn 的 iOS 客户端有泄漏用户隐私的可能性。和之前的 Path 一样,它会将和用户个人有关的内容偷偷上传到 LinkedIn 的服务器中。不过,它并不扫描用户的通讯录,而是通过内置查看手机内置日历的功能,将用户记录在日历上的内容,全部发送到服务器中,包括约会时间、约会对象、约会内容乃至用户在日历上记录的笔记。
作为回应,LinkedIn 在博客上发布了一篇文章,称应用传送手机用户日历中的信息,是为了根据这些信息在公司的用户数据库中进行配对,从而更好地向用户推荐。LinkedIn 指出,这些信息以 SSL 加密方式发送,而且公司也从来没有向第三方分享过这些数据。LinkedIn 还指出它已经向用户征询,通过了他们的许可。但 LinkedIn 并没有向用户说明,它会将用户日历中的信息上传——这才是问题的重点。一时间,LinkedIn 和当时的 Path 一样,成为众人围攻的对象。
800 万份密码遭泄漏
雪上加霜的是,LinkedIn 最近受到一位不知名的骇客的攻击,总共 800 万 名用户的密码被放在一份加密过后的文件,放在俄罗斯的论坛上。一时间,这起密码泄漏事件成为用户、媒体最为关心的事。在 Techmeme 的新闻列表上,它排在第一,超过昨晚 Google Maps 发布会。在 Twitter 上,它成为了人们议论纷纷的话题。
LinkedIn 的反应不可谓不快,在消息被报道的当天,马上发布了一篇博客,教导用户如何修改自己的密码,而后又发布一篇博客,确认遭到泄漏的“一些密码”与 LinkedIn 用户的密码重合。公司表示将持续对这件事进行“调查”。而那些密码遭到泄漏的用户,LinkedIn 将给用户发送重设密码的邮件等。这篇文章还安慰用户,称那些改了密码的用户,将不再受到影响,公司正在采取增强安全性的措施,包括对密码数据库再进行加密。
到底这个密码是如何泄漏的?
通过对泄漏的密码进行核查,Kore Logic Security 的一名安全顾问 Rick Redman 告诉 Ars Technica 这起事件的原因可能是:一个骇客拿到了加密过后的密码文件,但他只破解了一些简单的,而一些比较难的,他就放出来,希望别人帮他破解。Errata Security 的 CEO Robert Redman,以及一些 Twitter 上的用户,也持有相似的看法。
难熬的一天
对于 LinkedIn 公司本身,以及它的用户来说,今天都不是好过的一天。
不论是密码遭到泄漏,还是被侵犯隐私,因为 LinkedIn 而受到影响的人将数以百万计。这可能不到 LinkedIn 用户总量的 10%,但也不是一个小数目。最重要的是,LinkedIn 作为专业的社交网络,很多人在上面存放自己同事、商业合作伙伴的关系。难保个别特别精明的“坏家伙”,利用社会工程学攻击的方式,让自己身边的人受到伤害。
如果仔细调查,Facebook 所引发的隐私问题也不少,下面这个案例是比较经典的:
Facebook 收集用户信息引发隐私担忧的相关报道我们已经见过不少。这里有比较经典的一个案例:在 2011 年 11 月份的时候,德国法学生 Max Schrems 根据欧洲法律成功向 Facebook 要到了自己被收集的所有信息,结果他收到的是一张有 1222 个 PDF 文件的光盘,上面有他以往在 Facebook 的所有行踪,更令人吃惊的是这其中还包括了他已经删除了的信息。而前两天 Ars Technica 又报道 Facebook 新的用户数据使用条款规定用户存储在第三方应用上的信息并不会随应用被删除。
Facebook、LinkedIn、Path 等社交网站出现侵犯用户隐私的问题,是可以从商业模式的角度去理解的,它们现在或将来可能需要利用用户的数据来投放广告,或是实现更多的功能,对于它们而言,得到的用户数据越多,那么它们投放的广告就越精确、可以实现的功能就越多。
密码泄漏、侵犯隐私事件频繁最近爆发,不仅国外,国内也是如此。去年年底,国内网站、服务的密码遭到泄漏,波及用户可能上亿。最糟糕的是,这些密码被泄漏的原因,是因为这些服务有可能是以明文储存的方式来存放密码——企业对用户的信息缺乏尊重,这是这类事件频发的重要原因。
当一个人将自己的信息存放在公司或企业,那么公司或企业就应当承担保护这些信息不被泄漏的义务,更不能任意使用。道理很简单,“借别人的东西,是要说一声的。”
题图来自 hackmyass
LinkedIn证实网站用户密码泄露:失效后可重置编辑本段回目录
北京时间6月7日凌晨消息,职业社交网站LinkedIn董事Vicente Silveira周三在官方博客上发表声明称,该网站的用户密码确实已经泄露。
今天早些时候有报道称,LinkedIn的650万用户密码已泄露,并被发布在俄罗斯一家黑客网站上。报道称,超过30万的用户密码已经被解密,而且更多的密码正在解密过程中。LinkedIn用户总数超过1.5亿,这意味着被泄露的用户密码不到用户总数的10%,但受影响的用户仍旧很多。
以下是LinkedIn所发声明的全文:
我们希望提供有关今天早上密码被盗相关报道的更新。我们确认,与LinkedIn账号相关的一些密码已经被盗。我们正继续对这种状况进行调查,以下是我们将为被盗账号采取的下几步措施:
——拥有与被盗密码相关账号的用户将会发现,他们的Linkedin账号密码已不再有效;
——这些用户还将收到来自于Linkedin的一封电子邮件,内容是如何重设密码。这些电子邮件中将不会有任何链接;出于安全原因,用户永远都不应点击电子邮件中的链接来在任何网站上更改密码;
——这些受影响的用户还将从我们的客户支持团队那里收到另一封电子邮件,提供有关这种状况的更多文本,以及为何用户会被要求更改密码;
——值得指出的是,受到影响但对密码进行了更新的用户和密码并未被盗的用户将会得益于我们刚刚采取的增强后的安全措施,其中包括对我们当前密码数据库的Hash和Salt等;
我们对此事给我们用户所带来的不便表示诚挚的道歉。我们非常看重用户的安全问题;如果你尚未看过我在今天早些时候发布的有关更新密码及其他账号安全措施的博客文章,那么建议你应该这样做。
LinkedIn与FBI合作调查用户密码泄露事件编辑本段回目录
北京时间6月8日早间消息,职业社交网站LinkedIn周四称,该公司正与美国联邦调查局(FBI)进行合作,就640万用户密码遭窃一事展开调查。
LinkedIn发言人哈尼·杜尔西(Hani Durzy)称,该公司尚未获知任何用户账号已因此次密码泄露事件而被人接管。联邦调查局发言人则拒绝就此置评。
就目前而言,LinkedIn展开的调查仍旧处于早期阶段。杜尔西称,目前还无法判定与被盗密码相对应的电子邮件地址是否也已经被盗。
周三有报道称,LinkedIn的650万用户密码已泄露,并被发布在俄罗斯一家黑客网站上。报道称,超过30万的用户密码已经被解密,而且更多的密码正在解密过程中。LinkedIn用户总数超过1.5亿,这意味着被泄露的用户密码不到用户总数的10%,但受影响的用户仍旧很多。随后,LinkedIn董事Vicente Silveira发表官方声明,证实该网站的用户密码确实已经泄露。
LinkedIn的密码采用SHA-1加密方式,这是被视为很安全的一种加密方式。但据昨天的报道称,一些黑客团体正在破解密码,复杂一些的密码不容易被破解,但比较简单的密码则容易受到损害。
多名安全专家都已指出,LinkedIn的密码在被盗以前未能得到充分的保护,并指出这家公司并未采用全球最大网站使用的最好服务。
在被问及对这种批评作何评论时,杜尔西表示,LinkedIn已经提高了自身数据库的安全性。他指出:“我们将会员数据的安全性摆在最高的位置。”
周四,LinkedIn股价在纽交所上涨1.05美元,报收于94.13美元,涨幅为1.13%。