黑客销售1.67亿个LinkedIn用户记录
黑客试图销售包含16700万LinkedIn用户的帐户记录的数据库转储。
该公告发布于一个叫做5比特币或约2,200美元的叫做Thereaoldeal的黑暗市场网站,或者在据据说包含用户ID,电子邮件地址和SHA1密码为167,370,940个用户的数据集。
根据销售广告,转储不会涵盖LinkedIn的完整数据库。事实上,LinkedIn在其网站上索赔超过43300万元的注册会员。
特洛伊狩猎,我的创造者已经被PWNED了?,一个网站,让用户检查它们是否受到已知数据漏洞的影响,表示它很可能是泄漏合法的。他可以从数据集中获得大约100万条记录。
“我已经看到了数据的子集并验证了它的合法,”亨特通过电子邮件说道。
卢西安康斯坦丁黑客销售16700万被盗的LinkedIn帐户记录在黑暗的市场网站上。
LinkedIn于2012年遭遇了数据泄露,导致60万个用户记录和密码哈希在线发布。它非常可能,2012突破实际上比以前的思想大,并且其余的被盗数据现在正在浮出水面。
LinkedIn没有立即回复评论请求。
尝试联系卖家失败,但LeakedSource的管理员,数据泄漏索引网站,声称还有数据集的副本,他们认为记录来自2012年LinkedIn Breach。
“密码在SHA1中存储,没有腌制,”泄漏资源管理员在博客文章中表示。“这不是互联网标准的建议。只有117米的帐户有密码,我们怀疑使用Facebook或一些相似性注册的剩余用户。“
最佳安全性练习呼叫密码以在数据库内散列表单中存储。Hashing是一种单向操作,它生成一个称为哈希的字符串的唯一验证加密表示。
散列对于验证密码很有用,因为通过相同的散列过程运行密码应该始终导致相同的哈希,允许与先前存储在数据库中的一个相同的比较。
将哈希转换回原始密码应该是不可能的,这就是为什么它更安全地存储散布而不是纯文本密码。但是,有旧的散列函数,例如MD5和SHA1,易受各种开裂技术的攻击,并且不应再使用。
当2012年泄露650万LinkedIn密码哈希时,黑客设法裂开超过60%。对于新的1.17亿哈希,同样的事情可能是真的,所以他们不能被认为是安全的。
更糟糕的是,很多有可能受到这种泄漏避难所影响的LinkedIn用户很可能自2012年以来改变了他们的密码。亨特能够验证至少一个Hibp订户,其电子邮件地址和密码哈希在现在待售的新数据集中。
亨特通过电子邮件表示,受此漏洞影响的许多受此漏洞影响的人也可能重复在网上的多个地方中的密码。
LinkedIn用户在很长一段时间内没有改变密码,建议尽快这样做。还推荐了打开LinkedIn的两步验证。如果LinkedIn密码已在其他网站上使用,则应在那里更改它。