而在此之前,Linkedin的一款iOS應用升級程式被揭發在未經用戶知悉與准許的情況下傳輸用戶個人資料——其中的日程安排功能會獲取用戶的相關會議記錄並傳送回Linkedin的伺服器。雖然該事件的受影響群體主要為蘋果移動通訊產品與iPhone與iPad的使用者,Linkedin官方聲稱其採用SSL傳輸協議,因此第三方無法破解其中的內容。Linkedin更承諾在下一個版本的iOS中將停止此一行為。而此次密碼洩露事件中,受害者涵蓋了家庭電腦與手機使用者,並且第三方成功盜取了大量的用戶資料。根據Dagens IT和Mashable等知名科技博客的消息,目前已有三十萬個賬戶被黑客成功破解;而隨著用戶不斷傳送海量數據,受害者數量將會不斷增加。Linkedin的數據庫中,用戶賬戶與密碼並不會配對,因此即便盜取密碼,若無法知曉對應的賬戶名稱,仍然無法使用該賬戶。但芬蘭信息安全公司Cert-Fi認為該黑客已經成功將用戶名稱與密碼配對以便成功盜用賬戶。此次事件的情節遠比之前的私自傳輸用戶資料的事件嚴重。 此次密碼外洩,相信與數據庫漏洞有關。一般而言,用戶的密碼會在被加密(salted)後才傳輸出去以保證賬戶的安全。而如果賬戶密碼以非加密的形式傳輸,就有可能被盜取,黑客可以通過拆解用戶發送的數據包來尋找包含在其中的密碼並盜取之。Linkedin採用SHA-1散列函數(hash function)來處理用戶的賬戶與密碼,此種係統並沒有很好地將用戶的賬戶與密碼關聯散列化以防止外人得知賬戶與密碼的對應。因此黑客可以通過不斷的嘗試來找到一個賬戶與密碼的對應關係。即便如此,黑客獲取的密碼並非明文,仍然需要一定的時間來破譯,但如果用戶使用的密碼是英文單字或一串簡單的數字,黑客就可以更為輕而易舉地將其破獲。 Linkedin是全球著名的商務社交網站,開設至今已經擁有將近1億5千萬名用戶。此次被盜的650萬個賬戶雖然只佔總用戶數的5%,其仍然應該令Linkedin的負責人警惕。或者這被盜的5%屬於高價值用戶,或者黑客這次只是小試牛刀、將來或會發動更大規模的攻擊。 目前Linkedin官方正在調查事件,我們會及時跟進並予以報道。再次提醒所有的用戶及時更改自己的密碼以免遭受損失。 |