先锋小编 发表于 2012-11-3 14:00:01

【小编精选】LinkedIn账户密码泄露钓鱼邮件蜂拥而至

       各位朋友,先锋小编为你们选了一篇很好的文章,欢迎讨论!

       由于LinkedIn 用户多为“含金量”较高的职业人士,LinkedIn 失窃的账户密码对于钓鱼邮件和网络不法分子来说格外具有吸引力。

  本周三,知名专业社交网站 LinkedIn 爆出部分用户账户密码失窃,LinkedIn 主管文森特·希尔维拉(Vicente Silveira)在其个人博客中证实了此事。根据 Venturebeat 的报道,650万被破解的 LinkedIn 账户密码列表已经被上传至一家俄罗斯黑客服务器(哈希加密非明文),但目前尚不能确认这是否是被破解账户的总数。

  虽然 LinkedIn 已经废止了被黑账户的密码且已经发出官方邮件指导被黑用户重新设定密码的同时警惕钓鱼邮件(含有网址链接)。但钓鱼邮件反应神速,据悉目前已经有无法分子开始利用被泄露的账户邮件地址发送含有伟哥网址的钓鱼邮件。Eset 安全研究员卡梅隆坎普就在其博客中披露已经有相当多密码失窃账户受到假冒 LinkedIn 官方邮件的钓鱼邮件。

       由于目前尚无法明确界定被黑账户范围,故所有 LinkedIn 用户都应当尽快修改自己的账户密码以防万一。但务必注意要在 LinkedIn 网站中修改,不要执行任何邮件中所谓的“账户操作指示”或“账户密码认证确认信息”。对于用户来说麻烦也许才刚刚开始,因为所有与 LinkedIn 账户使用相同邮件密码的网络账户也需要进行修改。

  专业社交网站 LinkedIn 出现如此重大的安全事故对于 LinkedIn 的高端商务社交品牌来说是个不小的打击。

  根据 Cnet 报道,密码技术公司密码研究(Cryptography Research)首席科学家兼总裁保罗·科切(Paul Kocher)表示,LinkedIn 为密码加密采用了 SHA-1算法,但没有使用增加密码破解难度的正确隐藏技术。隐藏密码采用的是加密散列函数,但对每一个密码而言,这些散列函数并未采用独一无二的“腌制”过程。如果黑客发现了一个猜测密码的匹配散列函数,那么该散列函数将适用于其它使用同一密码的账户。

  科切说:“LinkedIn 出现两个重大失误:首先,LinkedIn 没有对人们重复搜索每个账户时的密码进行分散,其次是 LinkedIn 没有隔离管理用户数据。更糟糕的是,LinkedIn 直接将密码放在文件中,几乎没有”腌制”过程。”

  安全密码专家丹·凯明斯基(Dan Kaminsky)发布 Twitter 信息称:“腌制将为 linkedIn 密码数据集破解增加 22.5 倍的复杂性。”

  LinkedIn 方面目前正在调查密码被黑事件,并采取措施提高网站的安全性措施,包括对当前密码数据库的散列和腌制。

  值得注意的是,外界对 LinkedIn 的密码泄漏事件的调查还连带 出一个类似 Path 的用户隐私问题:之前研究人员发现 LinkedIn 移动应用会不经用户允许悄悄从日历资料向外发送数据,其中包括密码和会议纪录,在用户毫不知情的情况下将数据传回 LinkedIn 服务器。该消息披露后,LinkedIn 表示将终止日历发送会议纪录数据。LinkedIn 解释称日历同步功能是可选功能,可以关闭,此外 LinkedIn 并未在服务器上存储任何用户隐私数据,而且对传输过程中的数据进行了加密。

  鉴于 LinkedIn 此次泄露的账户密码也都经过加密,所以广大网络用户不能将个人数据安全和隐私保护寄托于某家网站的“专业技术”,而是要加强个人信息安全意识,制定行之有效的个人信息安全管理“制度”。(转)

psugy 发表于 2013-1-22 10:11:57

读后感想很深:lol
页: [1]
查看完整版本: 【小编精选】LinkedIn账户密码泄露钓鱼邮件蜂拥而至