央广网北京5月21日消息 据经济之声《天下公司》报道,美国职业社交网络领英(LinkedIn)公司最近承认,领英在2012年遭遇黑客攻击时,有1.67亿条用户登录信息被盗,这比之前宣称的650万条多出了20倍。同时,这1.67亿个账户信息中,有1.17亿个账户信息同时包含电子邮件和密码。
2012年发生的事件对今天的影响远未结束。最近,一位名为Peace的黑客在网络黑市上销售这1.17亿条账户信息,售价5个比特币,约合2200美元,换算成人民币大概是14400元。
目前,领英用户大约有4.33亿。领英发言人公开表示,公司低估了这件事情的影响。在2012年受到黑客攻击时,公司曾花费近100万美元对此事展开调查。
领英最新的措施是,给用户发送了电子邮件要求更改密码,并对从2012年起从未修改密码的用户要求强制修改密码。
相较于其他社交网站,领英属于职场社交,上面有更多的个人真实信息。电信专家项立刚认为,这次事件可能会给领英这家公司带来致命一击。
项立刚:那这样的情况下对整个公司整个的就是长期发展,它的信任度对用户的接受的程度可能也会有很大的问题,我个人认为对国家肯定是有非常负面的影响。互联网公司必须要加强这方面的能力,要保护这样的一个信息,这样以后才能够让整个的互联网正常的运营。
美国信息安全网站LeakedSource指出:领英网站于2012年6月遭遇黑客攻击,当时总计1亿6737万910个账户的数据由一位俄罗斯黑客人员所掌握。
LeakedSource方面表示,黑客将用户的密码转换成特定的字符串。如果是类似“LinkedIn1234”这种简单弱密码,就会转换成固定的字符串,且很容易被人攻破。
这件事儿给了领英新的教训,不要用不安全的方式存储密码。另外,用户设置密码时也得注意,因为领英在被盗的数据库看到了类似下图的密码数据,的确简单到“让人发指”。
微软的一位安全研究员Troy Hunt在推特上发了大量推文,质疑领英在此次事件中的责任。同时,他在自己运营的网络安全网站上,挂出了一些被盗账号的内容,告知用户可能存在的风险。
项立刚指出,在当下的网络环境下,密码泄露还有一个可怕的后果:撞库。
项立刚:还有一个非常重要的事情就是为撞库,撞库就是我们有很多人,比如说电子邮件,用的用户名和密码是这样,甚至他的银行、网上银行其他东西,他也同样的用的用户名,用的同样的密码,那么这样的帐户的情况就是有可能攻击用户的银行帐户,这个对用户来说损失是很厉害的。
这样大规模的账号密码泄露事件去年国内也曾发生。
去年十月,漏洞报告平台乌云宣布发现新漏洞,此漏洞将导致网易 163/126邮箱过亿数据泄漏。有安全专家提醒,用网易邮箱和iCloud和QQ等帐号绑定的用户,需要马上解除绑定关系。其中受影响比较严重的是iPhone用户。绑定网易邮箱的Apple ID被锁死,变成板砖一块,直接导致了用户手机不能使用。
而网易的回应是:网易邮箱数据库不存在被攻击和泄露情况,黑客获得部分用户在其他网站与网易邮箱同名的帐号和密码,并以此帐号和密码来尝试在其他网站的登录,并非网易邮箱数据库泄露”。
一位乌云的工作人员告诉天下公司,这样的事情发生过不少,让人难以接受的是:普通用户很难避免这种安全事故。
工作人员:这事情好像后来他们也没有说是给到一个最终的结论。这样事情很多,中国也很多,你可以去查看一下,因为早期因为是从2009年开始就不断的中国很多大型的网站天涯什么的都采用过这样的情况,系统的一些漏洞,黑客攻击导致数据的一个泄露。这个是用户很难避免的,因为这个责任主要在这个企业的上面,虽然我们建议的就是说当初发生这样的情况之后,一是有企业投入之外最好有一些声明或者让企业来做一些补救措施,用户这边是很弱势的,就是没有办法做太多事情。
除了社交网站和邮箱,另外一个泄密的高危领域则是WiFi。中国目前公共场所的WiFi热点覆盖至少超过千万个,WiFi几乎成为公共场所服务的标配。而在这一庞大的市场需求背后,实际上隐藏着很多安全隐患。
首先,虚假WiFi钓鱼是当前免费WiFi的主要安全风险。犯罪分子通过架设一个与某公共WiFi热点同名的WiFi网络,如"CMCC""KFC”等,诱导用户接入该网络,就可以通过分析软件窃取这些接入虚假WiFi热点用户的资料。这种WiFi钓鱼行为轻则导致邮箱、QQ被盗,如果盗取到用户的银行账户、网络支付账户密码等信息,则会造成资金盗刷的巨大财产损失。
其次,黑客也会利用 “DNS劫持”、“ARP欺骗攻击”攻击手段在网用户进行恶意攻击,实施窃取网购支付账号密码等个人信息的犯罪行为。
