商业网络巨头LinkedIn公司日前表示,2012年那次公司导致650万用户密码曝光的数据泄露,目前看来入侵盗取的内容比预计的范围要大很多,可能已影响了超过1.17亿的用户。LinkedIn公司今日表示,将再次为受影响的个体用户强行重置密码。
据悉尼晨锋报报导,2012年时当一名黑客将650万个“唯一密码”(只用于一处的密码)列单,贴在一个非常盛行的论坛上后,外界才知晓了LinkedIn数据被骇。该论坛的成员通常自愿或被雇佣来骇复杂密码,当他们设法破解其中的密码时,发现有破解出来的相当一部分密码是LinkedIn的。LinkedIn后来以强行重置这650万密码做回应,但事情并没有就此结束。
周四的一份报告使2012年事件中更多被骇内容浮出水面。一在线网络犯罪市场贴出一个出售栏,提供1.17亿个2012年被盗的用户记录。除此之外,该付费黑客数据搜索引擎LeakedSource宣称,可搜索出1.17亿数据记录的副本。
但令人不解的是LinkedIn对最近的入侵攻击的反应,依然重复以前的错误——再次强行重置密码。公司的博客上写道,“我们正在采取即刻行动,使受影响的密码无效,我们也将联系会员重置密码,现在并无迹象表明本次事件是新的安全漏洞造成的。”LinkedIn发言人杜尔泽(Hani Durzy)说,“我们认为还是2012年那次入侵攻击的结果。”
泄露的密码也显示了人们设置密码的安全性问题,LeakedSource上仅50个容易猜到的密码,就占据了220万泄露的设置密码。
但如果在每个用户密码上添加一个独特元素“salt”(Telix应用语言文字),数据库管理员就可以大大增加攻击者依靠自动工具破解盗取密码的复杂度。LinkedIn表示,2012年事件后已经为密码添加“salt”元素。
如果用户在其它网站设置了与LinkedIn相同的密码,请将那些密码改换成一个唯一密码。重复使用同一密码在不同的网站,使你的个人及财务信息变得更不安全。
网络安全专家米勒(Ty Miller)也警告说,2012年曝光的数据中可能含有银行和电子邮箱信息,影响面不止这一亿多LinkedIn用户;他还表示,LinkedIn用户不仅要更换LinkedIn密码,同样也要更换银行和电邮密码。
**
来源:大纪元 责任编辑:李熔石
没有评论:
发表评论