一位不知名的駭客週一(6/4)將高達八百萬筆加密的密碼張貼到位於俄羅斯的網站,資安人員分析發現這些資料屬於社交網站LinkedIn。稍後LinkedIn透過Twitter及部落格承認密碼外洩,表示還在進行調查當中,但還未發現任何系統漏洞,也沒公布多少用戶受到影響。

LinkedIn目前已經將密碼外洩的帳號暫時鎖住,使用者必須重新設定密碼之後才能使用。LinkedIn同時也會以電子郵件通知這些受影響的用戶。可能為避免駭客利用此事件進行釣魚攻擊,LinkedIn特別聲明這些通知郵件內不會有網頁超連結。

外洩的密碼以SHA-1加密形式被公布在俄羅斯一個專門討論資料解密的論壇insidepro.com,並未說明資料的來源,也沒有對應的帳號資料。多位資安研究人員在解析這些資料時,發現到自己使用密碼產生器所製作並專用於LinkedIn網站的密碼,才確定這些資料約有645萬筆來自LinkedIn網站,另外約150萬筆則屬於交友網站eHarmony,該網站會員人數約為兩千萬。

由於目前破解SHA-1加密資料非常容易,資安專家認為LinkedIn不該使用如此過時的加密方式儲存密碼。根據媒體報導,在資料被公布24小時內,已經有資安專家解出55%的密碼。

資安專家、LinkedIn及eHarmony均提醒用戶,如果在其他網站使用相同的密碼,務必進行更換,並提供提昇密碼強度的建議。另外也有專家懷疑,由於部分用戶使用相同的密碼,因此LinkedIn受影響的用戶可能超乎650萬人。(編譯/沈經)


Advertisement

更多 iThome相關內容