在一个提出的更新中,提出了比IT答案更多的问题,LinkedIn今天的议员在安全违规行为中努力保护他们的个人数据暴露了约650万次Linkedin密码.
但该公司没有解释如何获得密码,他们如何结束发布在俄罗斯黑客网站上本周早些时候,其他数据可能会受到损害。
有点文字混乱的博客文章今天下午,领英主管Vicente Silveira表示,领英“了解到”大约有650万个密码被发布在一个黑客网站上,但他既没有证实也没有否认这个数字。
相反,他只是指出,列表中的大多数密码都似乎仍然哈希和难以解码。“但不幸的是,哈希密码的小子集被解码并发布,”Silveira说。
这是领英首次暗示650万密码被泄露。昨天,在其第一官方评论在该事件上,公司仅仅注意到“一些”哈希密码可能会受到损害。
如果访问密码的黑客也设法访问关联的电子邮件登录,Silveira的博客文章并不明确。相反,Silveira仅次指出,LinkedIn已经迄今未看出任何有关LinkedIn电子邮件ID的证据表明在线发布。“我们也没有收到任何已验证的报告,因为这次活动是由于此次活动而未经授权访问任何会员帐户的报告,”他写道。
他说,LinkedIn在事件唤醒时的首要任务是“锁定和保护”与解码密码相关的账户。“我们已经使那些密码失效,并通过消息联系了这些成员,让他们知道如何重置他们的密码,”Silveira说。
“向前展望,作为预防措施,我们禁用我们认为可能受到影响的任何其他成员的密码,”他说。
Silveira再次指出,作为改进的安全措施的一部分,LinkedIn的帐户密码的当前生产数据库是盐渍的以及散列。某些安全专家仅使用LinkedIn仅使用SHA-1散列算法来保护成员密码。
虽然算法提供了一种安全程度,但它不是万无一失的。因此,许多公司也使用Saltinga进程,其中一串随机字符被添加到密码之前,它是散列使哈希裂开裂缝。
切斯特WISNIEWSKI,SICOPHOS的高级安全顾问叫Silveira关于SARTENT的评论有点混乱。“他们说,他们目前的生产数据库现在腌制了,这似乎在技术上是不可能的。他们要么前一次丢失了数据库,并且随着用户登录的,这意味着并非所有这些都是盐渍的纯粹的密码副本,其中击败了哈希他们开始的目的,“他通过电子邮件说。
“盐存在现有哈希的唯一方法是在用户登录后重新计算哈希,或者为用户进行所有更改密码,”Wisniewski表示。
他说,Silveira关于只解码和发布的一些散列密码的评论也是令人费解的。“为什么他们相信只有一小部分才能解决令人困惑。虽然只发布了一小部分,但大多数人都被发现,根据许多一直试图破解他们的来源,”他说。
Jaikumar Vijayan为Computerworld报道数据安全和隐私问题、金融服务安全和电子投票。在推特上关注贾库马尔@jaivijayan.或订阅jaikumar的RSS饲料.他的电子邮件地址是jvijayan@computerworld.com..
看更多作者Jaikumar Vijayan在Computerworld.com上.
阅读更多关于网络犯罪和黑客的信息在计算机世界的网络犯罪和黑客主题中心。
这个故事“LinkedIn提供违规更新 - 有点”最初发布Computerworld. .