650萬LinkedIn用戶密碼外流

一位不知名的駭客週一（6/4）將高達八百萬筆加密的密碼張貼到位於俄羅斯的網站，資安人員分析發現這些資料屬於社交網站LinkedIn。稍後LinkedIn透過Twitter及部落格承認密碼外洩，表示還在進行調查當中，但還未發現任何系統漏洞，也沒公布多少用戶受到影響。

LinkedIn目前已經將密碼外洩的帳號暫時鎖住，使用者必須重新設定密碼之後才能使用。LinkedIn同時也會以電子郵件通知這些受影響的用戶。可能為避免駭客利用此事件進行釣魚攻擊，LinkedIn特別聲明這些通知郵件內不會有網頁超連結。

外洩的密碼以SHA-1加密形式被公布在俄羅斯一個專門討論資料解密的論壇insidepro.com，並未說明資料的來源，也沒有對應的帳號資料。多位資安研究人員在解析這些資料時，發現到自己使用密碼產生器所製作並專用於LinkedIn網站的密碼，才確定這些資料約有645萬筆來自LinkedIn網站，另外約150萬筆則屬於交友網站eHarmony，該網站會員人數約為兩千萬。

由於目前破解SHA-1加密資料非常容易，資安專家認為LinkedIn不該使用如此過時的加密方式儲存密碼。根據媒體報導，在資料被公布24小時內，已經有資安專家解出55%的密碼。

資安專家、LinkedIn及eHarmony均提醒用戶，如果在其他網站使用相同的密碼，務必進行更換，並提供提昇密碼強度的建議。另外也有專家懷疑，由於部分用戶使用相同的密碼，因此LinkedIn受影響的用戶可能超乎650萬人。（編譯/沈經）