LinkedIn泄露密码最低售价仅为1美元

北京时间6月13日早间消息，业内专家指出，美国职业社交网站LinkedIn的密码泄露事件可能不会导致许多账号被破解，原因是盗窃者仅以最低1美元的价格来出售这些密码。

据互联网安全服务提供商赛门铁克称，这一售价与银行密码形成了对比，其售价可能在15美元到850美元之间。赛门铁克企业部门总裁弗朗西斯德苏扎（Francis deSouza）称，被窃数据的实用性按网站而不同，从而带来了价格上的差异。

德苏扎指出，被窃的社交网络密码对网络窃贼来说仅具备有限的价值，原因是从整体上来说，窃贼不能直接从这些账号那里赚到钱。此前曾有报道称，如果黑客不能在LinkedIn的网站上使用被盗的密码，那么仍会使用它们来渗入其他网站，前提是用户用同样的密码登录各个不同网站上的账号。

德苏扎表示：“对这种黑客攻击行为所作出的回应不该只是更改你的LinkedIn密码，而是更改在任何使用相同密码的网站上的密码。”

LinkedIn上周称，有650万名用户的密码已经泄露，并被发布在俄罗斯一家黑客网站上。此前曾有报道称，超过30万的用户密码已经被解密，而且更多的密码正在解密过程中。LinkedIn用户总数超过1.5亿，这意味着被泄露的用户密码不到用户总数的10%，但受影响的用户仍旧很多。

LinkedIn在6月7日发表的博客文章中称，该公司尚未收到任何与用户账号未经授权就被登录的任何已经证实的报告，并称其已让任何可能被盗用的密码失效。

LinkedIn表示，该公司正与美国联邦调查局合作，就用户密码遭窃一事展开调查。该公司发言人哈尼杜尔西（Hani Durzy）当时表示，LinkedIn展开的调查仍处于早期阶段，还无法判定与被盗密码相对应的电子邮件地址是否也已经被盗。

上周，CBS旗下音乐网站Last.fm和在线约会网站eHarmony的用户密码也都已经被盗，两家公司都建议用户立即更改密码。

对黑客来说，利用LinkedIn等职业社交网站的方式之一是创造伪造的账号，然后将其与黑客账号连接到一起，随后就开始等待。这种连接会让侵入者监控被破解的账号，从而获取有关用户换工作的信息。一旦监控到这种信息，黑客可能会向其发出电子邮件，假装是新同事或人力资源部门的招聘人员，而如果用户不加怀疑地点击邮件中的恶意链接，那么其电脑就会被黑客控制。

LinkedIn在此前的博客文章中称，被列出的被盗密码中有很多都是“散列的”，或是进行了加密，因此外部人士是无法解读的；但是，也有一些密码已被解码和公布。据研究人员弗朗西斯佩谢（Francois Pesce）在6月8日发布的博客文章称，安全管理公司Qualys的一名研究员就破解了200万个LinkedIn密码，并指出黑客公布密码很可能就是为了寻求破解帮助。

此外，黑客还可利用社交网站密码来向被盗用户的好友发送垃圾邮件，对于象LinkedIn或Facebook等这样用户会积累大量联系人的网站来说更是如此。LinkedIn的用户总数超过1.6亿人，而Facebook则超过9亿人。德苏扎称，禁用密码可阻止这种垃圾邮件。 ●