LinkedIn调查帐号密码泄漏事件

　　社交网站LinkedIn遭遇到大规模密码泄漏安全事件已经不是什么新闻，目前它正在调查由几家安全公司发布的报告，报告称可能影响到超过600万名用户。“我们的团队在继续调查，但是此刻我们仍然无法证实已经发生了任何安全泄密事件。”LinkedIn的公共关系联络员Erin O'Harra对于该消息如是说。

　　据称在星期二LinkedIn网站攻击中失窃的密码被发布在俄罗斯的某个黑客论坛上。这些发布的内容包括一个含有640万个密码的巨型文件。该文件没有用户名。LinkedIn网站宣称全球有1亿6100万名会员。

　　Rapid7公司安全研究员Marcus Carey表示，看起来这些密码是使用SHA-1算法来哈希得出。该算法是一种弱算法，通常只用于校验文件的完整性。最佳实践要求哈希密码时使用随机salt方案，以便进一步混淆密码字符串的内容。

　　“我们知道的就是在安全社区已经有好几个人验证过他们的LinkedIn站点密码哈希值在那个密码dump文件中，”Carey在与SearchSecurity.com网站的访谈中表示。“所有这一切都表明这是一场大规模的web站点泄漏事件。”

　　Rapid7公司的Carey以及其它几家安全公司的研究员警告LinkedIn站点的帐号持有人为了安全起见要修改他们的密码。 Carey表示一旦调查者判定已经发生泄漏事件后，很有可能LinkedIn网站会强迫它的所有用户修改他们的密码。

　　发布在俄罗斯站点的该密码文件仍然可被公共访问。它们包括一个巨型的RAR文件，有用户密码以及一份更小的zip文件。该zip文件包括通过暴力破解攻击窃取到的大约16万个密码，据Rapid7公司的Carey表示。

　　Websense有限公司的安全研究主任Patrik Runald表示，存储用户帐号的数据库应该使用防火墙来保护。并且可以采取额外的措施来保护web服务器，以及用于访问web站点帐户的web应用。

　　“此刻还有很多我们不了解的事情，”Runald谈到，告诫人们不要妄下结论。 “我们不知道是否该泄密事件是通过公共可访问的机器、还是借助一些内部的方式。”

　　攻击者通常使用自动化的工具来寻找web站点的漏洞、以及web应用的缺陷。SQL注入作为最为常见的一种攻击方式，一直被用于获得对密码数据的访问。

　　在初始调查后LinkedIn重设受到影响帐号的密码

　　周三LinkedIn站点提供了更新内容，证实了“一些LinkedIn帐号的密码被泄漏。”该社交网站没有声明是否它的系统遭到入侵。LinkedIn公司的首席产品经理Vicente在一篇关于公司调查事件的博客中谈到，该公司正在让该密码文件中包括的密码无效，并且通过邮件通知受到影响的用户，指导他们重设密码。由于安全的原因，在LinkedIn网站发布的消息中不会有任何链接，Silveira写到。

　　“这些受到影响的会员会收到来自我们客户支持团队的第二封邮件，提供关于这个情况的更多内容，以及为什么要求他们修改密码。”Silveira写到。Silveira也表示最近该公司在它的密码哈希数据库中增加了salt值。

　　范围扩大至eHarmony约会web站点

　　在LinkedIn站点的密码被泄漏后，约会站点eHarmony也加入到前者重设帐户凭证的队伍中。“会员们会收到一封邮件指导如何重设他们的密码，”该公司表示。