近日在网络黑市TheRealDeal上,有黑客以5比特币(约2200美元)的价格兜售1.67亿LinkedIn用户账户信息,包括用户ID、邮件地址以及1.17亿条SHA1加密(并未“加盐”)的用户密码。
发布销售广告的黑客表示这些泄露的数据只是LinkedIn用户数据库的一部分,而根据LinkedIn的官网介绍,其注册用户规模超过4.33亿人。
Have I been pwned?网站创办人Troy Hunt在核验了约一百万条用户记录后,表示此次泄露的很可能是LinkedIn用户的真实数据。但Hunt指出,2012年LinkedIn曾经发生大规模用户账户密码泄露事故(参考阅读:LinkedIn密码泄露,你必须知道的四件事),当时LinkedIn向外界公布只泄露了650万用户账户信息,从此次黑客销售的数据规模来看,2012年的数据泄露事故LinkedIn很有可能“瞒报”了。
2012年泄露的LinkedIn用户账户密码虽然使用SHA1加密,但是没有“加盐”,因此黑客很轻松就破解了超过60%的的账户密码,此次泄露的1.17亿LinkedIn用户账户密码由于采用相同的加密方式,大多也难逃厄运。
IT经理网建议那些2012年以来从未修改LinkedIn账户密码的读者尽快修改密码,同时建议开启LinkedIn的双因素(两步)认证。