社交網站LinkedIn遭遇到大規模密碼泄漏安全事件已經不是什么新聞，目前它正在調查由幾家安全公司發布的報告，報告稱可能影響到超過600萬名用戶。“我們的團隊在繼續調查，但是此刻我們仍然無法證實已經發生了任何安全泄密事件。”LinkedIn的公共關系聯絡員Erin O'Harra對于該消息如是說。

據稱在星期二LinkedIn網站攻擊中失竊的密碼被發布在俄羅斯的某個黑客論壇上。這些發布的內容包括一個含有640萬個密碼的巨型文件。該文件沒有用戶名。LinkedIn網站宣稱全球有1億6100萬名會員。

Rapid7公司安全研究員Marcus Carey表示，看起來這些密碼是使用SHA-1算法來哈希得出。該算法是一種弱算法，通常只用于校驗文件的完整性。最佳實踐要求哈希密碼時使用隨機salt方案，以便進一步混淆密碼字符串的內容。

“我們知道的就是在安全社區已經有好幾個人驗證過他們的LinkedIn站點密碼哈希值在那個密碼dump文件中，”Carey在與SearchSecurity.com網站的訪談中表示。“所有這一切都表明這是一場大規模的web站點泄漏事件。”

Rapid7公司的Carey以及其它幾家安全公司的研究員警告LinkedIn站點的帳號持有人為了安全起見要修改他們的密碼。 Carey表示一旦調查者判定已經發生泄漏事件后，很有可能LinkedIn網站會強迫它的所有用戶修改他們的密碼。

發布在俄羅斯站點的該密碼文件仍然可被公共訪問。它們包括一個巨型的RAR文件，有用戶密碼以及一份更小的zip文件。該zip文件包括通過暴力破解攻擊竊取到的大約16萬個密碼，據Rapid7公司的Carey表示。

Websense有限公司的安全研究主任Patrik Runald表示，存儲用戶帳號的數據庫應該使用防火墻來保護。并且可以采取額外的措施來保護web服務器，以及用于訪問web站點帳戶的web應用。

“此刻還有很多我們不了解的事情，”Runald談到，告誡人們不要妄下結論。 “我們不知道是否該泄密事件是通過公共可訪問的機器、還是借助一些內部的方式。”

攻擊者通常使用自動化的工具來尋找web站點的漏洞、以及web應用的缺陷。SQL注入作為最為常見的一種攻擊方式，一直被用于獲得對密碼數據的訪問。

在初始調查后LinkedIn重設受到影響帳號的密碼

周三LinkedIn站點提供了更新內容，證實了“一些LinkedIn帳號的密碼被泄漏。”該社交網站沒有聲明是否它的系統遭到入侵。LinkedIn公司的首席產品經理Vicente在一篇關于公司調查事件的博客中談到，該公司正在讓該密碼文件中包括的密碼無效，并且通過郵件通知受到影響的用戶，指導他們重設密碼。由于安全的原因，在LinkedIn網站發布的消息中不會有任何鏈接，Silveira寫到。

“這些受到影響的會員會收到來自我們客戶支持團隊的第二封郵件，提供關于這個情況的更多內容，以及為什么要求他們修改密碼。”Silveira寫到。Silveira也表示最近該公司在它的密碼哈希數據庫中增加了salt值。

范圍擴大至eHarmony約會web站點

在LinkedIn站點的密碼被泄漏后，約會站點eHarmony也加入到前者重設帳戶憑證的隊伍中。“會員們會收到一封郵件指導如何重設他們的密碼，”該公司表示。