你还记得前两天在黑市叫卖成人网站用户信息的黑客:“Peace_of_mind”吗?
看起来这个黑客已经成为冲破各种网站,决堤个人信息的金字招牌了。就在昨天,他又在暗网黑
市“TheRealDeal”里“上架”了新货:著名职场社交平台领英(Linkedin)1.67亿的用户信息。准确地说,是167370910个个人数据。这么庞大的数据售价自然不菲,达到了5比特币,相当于1.5万人民币。
【黑客登出的“领英”个人信息交易信息】
做生意讲究诚信,Peace_of_mind 表示,这些数据当中,只有1.17亿包含了完整的用户名和密码信息。而这些密码信息,也是经过哈希算法加密的,需要破解之后才能使用。
专门研究个人信息安全的机构“我是不是被搞了(Have I Been Pwned?)”的一名研究员在Twitter发文说:我研究了这1.67亿用户数据中的一部分,看起来这些信息非常可能是真实的。
根据领英最新的用户数据资料,目前这个全球最大的职场社交网站拥有4.33亿注册用户。也就是说,每四个用户中,就有一个人的密码被黑客掌握。
然而,这些数据并不是最近才被窃取的。早在2012年,领英就遭遇过一次重大的攻击。而 Peace_of_mind 也直言不讳,表示这些数据就是当年那次攻击取得的。事实上,当年在攻击事件发生之后,随即有650万用户信息被泄露在互联网上,而领英当时保持了沉默,直到大家都渐渐淡忘这件事情,领英也没有透露究竟这次数据泄露有多严重。
不过刚才提到,这些用户信息的密码是以“SHA-1”的哈希加密的方式存储的,那么这样的数据可以被坏人利用吗?腾讯电脑管家安全专家刘钊对雷锋网表示:
目前因为密码位数不够等潜在风险,SHA-1正在被淘汰,替换成了更多密码位数的SHA-256、SHA-512等,但就SHA-1本身的破解难度还是很大的。这次泄漏的数据有一个致命弱点,就是没有“加盐”,所谓“盐”就是和每个用户唯一匹配的字符串。加盐之后的密文不是简单对应密码的明文,还要加入这个字符串才能显露真身。
360安全专家宋申雷告诉雷锋网,
这些没有“加盐”的密码破译起来难度大大降低。对于这些密码的破译方式一般是采用大量的常用密码生成SHA-1做比对,一旦比对一致,就破译了这个密码。以现在计算机的硬件水平,对于一个简单的密码,能够做到“秒破”。对于一些复杂的密码,则需要更长的时间。
也就是说,无论是谁购买了这些资料,他们可能不会马上破解这些密码,但是随着时间的推移,所有的密码都会被破译,而且越简单的密码被“攻陷”得越快。
国外安全研究员根据泄露的密码进行了简单的统计,总结出排名前五的密码:
雷锋网表示吐槽无力。用这么简单的密码,是不想好好生活了吗?
而且,就算这些数据是2012年泄露的,但是我敢肯定有一大部分人在这四年当中没有修改过密码。对于中国人而言,很多身边的童鞋可能只是注册过这个平台,并没有深度使用。不过为了保险起见,你最好动动手指,登陆修改一下自己的密码。