LinkedIn账户遭黑客攻击 未披露被黑密码数量

6月7日，当地时间本周三，LinkedIn证实其部分会员密码遭窃，但未披露LinkedIn网站被黑过程。

LinkedIn专业社交网站主管文森特希尔维拉（Vicente Silveira）在博文中写道：“我们已经证实部分LinkedIn账户密码被黑。”目前尚不清楚LinkedIn已经证实的被黑密码数量。

LinkedIn已经废弃了被黑账户的密码。被黑账户人员将收到一封发自LinkedIn的电子邮件，指导他们重新设定密码。这些电子邮件将不包含任何链接。钓鱼式攻击通常依靠电子邮件中指向假冒网站的链接诱骗人们提供信息，因此，LinkedIn表示将不在邮件中发送链接。

受影响账户人员还将收到第二封来自LinkedIn客户支持的电子邮件，解释他们需要更改密码的原因。

LinkedIn周三早上表示，尽管LinkedIn用户密码出现在黑客公布的名单上，但公司并未发现数据被黑迹象。

密码技术公司密码研究（Cryptography Research）首席科学家兼总裁保罗科切（Paul Kocher）表示，LinkedIn为密码加密采用了SHA-1算法，但没有使用增加密码破解难度的正确隐藏技术。隐藏密码采用的是加密散列函数，但对每一个密码而言，这些散列函数并未采用独一无二的“腌制”过程。如果黑客发现了一个猜测密码的匹配散列函数，那么该散列函数将适用于其它使用同一密码的账户。

科切说：“LinkedIn出现两个重大失误：首先，LinkedIn没有对人们重复搜索每个账户时的密码进行分散，其次是LinkedIn没有隔离管理用户数据。更糟糕的是，LinkedIn直接将密码放在文件中，几乎没有‘腌制’过程。”

安全密码专家丹凯明斯基（Dan Kaminsky）发布Twitter信息称：“腌制将为linkedIn密码数据集破解增加22.5倍的复杂性。”

上传至一家俄罗斯黑客服务器的密码列表列出近650万个密码，但目前还不清楚有多少密码被破解。许多密码序列前五位都是零；科切表示他怀疑这些就是被黑密码。他说：“这表明黑客通过破解分散函数窃取到了文件。”

尽管科切表示黑客极可能已经访问了用户姓名，但并不能仅仅因为账户人员密码外泄、似乎被黑而断定黑客已经登录该账户。

LinkedIn用户账户可能遭黑客攻击，其他骗子也在利用该事件大做文章。科切表示，他已经收到数封声称来自LinkedIn钓鱼垃圾邮件，要求他点击一个链接验证其密码。

如果人们使用的LinkedIn密码与其它账户密码一样或与LinkedIn密码格式类似，这些密码也将面临危险。下面是选择高安全性密码的一些技巧：

LinkedIn希尔维拉表示，LinkedIn正在调查密码被黑事件，并采取措施提高网站的安全性。希尔维拉写道：“需要指出的是，更新密码的受影响用户和密码未受到影响的用户，都将从我们最近采取的安全强化措施中受益，这些安全措施包括对当前密码数据库的散列和腌制。我们在此向为各位造成的不便表达真诚的歉意。我们将认真对待用户安全问题。建议用户仔细阅读我们今天发布的更新用户密码和其它账户安全最佳途径通知。”

除了密码泄漏事件外，研究人员还发现LinkedIn移动应用从日历资料向外发送数据，其中包括密码和会议纪录，在LinkedIn毫不知情的情况下将数据传回公司服务器。该消息披露后，LinkedIn表示将终止日历发送会议纪录数据。另外，LinkedIn表示日历同步功能是一项选择性功能，能够被废弃，LinkedIn并不在服

务器上存储任何数据，并对传输过程中的数据加密。