LinkedIn 於 2012 曾被黑客入侵,導致 650 萬個帳戶密碼於網上流出,但原來當時受影響的用戶並沒有這樣少。日前黑客向外國媒體表示,他當時其實獲得 1.17 億個 LinkedIn 帳戶,現時正以 5 bitcoin (約 2,200 美元)在黑市售賣。流出的資料亦顯示,最多「專業人士」用的密碼仍然是 123456。如想檢查自己有沒有受影響可參考本文。
LinkedIn 2012 年被入侵比想像中嚴重 1.17 億個密碼正在黑市售賣
LinkedIn 於 2012 曾被黑客入侵,導致 650 萬個帳戶密碼流出。雖然密碼有使用 SHA-1 來加密,但加密沒有「加鹽」(salt),即在密碼插入特定的字串提升破解難度,逾 200,000 個密碼因此被破解。
自稱為 Peace 的黑客日前向外國媒體 Motherboard 表示,他在該次的入侵中實際上獲得 1.17 億個 LinkedIn 電郵和密碼,並於黑市以 5 bitcoin (約 2,200 美元)售賣。
流出資料搜尋引擎 LeadedSource 稱獲得有關帳戶,並表示其實資料庫有 1.67 億筆資料,不過當中只有 1.17 億附有電郵和加密密碼。
LinkedIn 沒有為密碼「加鹽」
LeadedSource 又向 Motherboard 提供約 100 萬筆資料樣本,當中包括電郵、被雜湊加密 (hash)的密碼和被破解的密碼,顯示密碼使用 SHA-1 加密,但沒有「加鹽」(salt),使密碼較容易撞破。LeadedSource 更表示他們在 72 小時內已破解 90% 的密碼。Motherborad 以及另一個網站 Have I been pwned? 亦接觸過受害人確認流出的密碼確實是他們的。
LinkedIn 已確認流出的資料確實屬於他們的會員,並採取措施保護會員和提醒他們更改密碼,並指沒有跡象顯示這是新一輪的入侵。
我的 LinkedIn 帳戶有沒有受影響?
如想檢查自己有沒有受影響,可以到 LeadedSource 查看。該網站無法在搜尋引擎找到,最好把它加入書籤。只要輸入電郵,便知道自己的 LinkedIn 或其他帳戶(如 Tumblr、Adobe)有沒有被駭,如有的話便要更改密碼了。由於資料是在 2012 年的入侵獲得,之後註冊的會員應不受影響。
另外根據 LeadedSource 顯示,在 1.17 億個 LinkedIn 帳戶之中,最多人用的密碼是 「123456」,其次是 「linkedin」。正如 Unwire.pro 早前提及,123456 是最常見的危險密碼,作為專業人士應該不要使用。
Source : Motherboard
