北京时间6月13日消息,据国外媒体报道,互联网安全公司赛门铁克周二指出,美国职业社交网站LinkedIn的密码泄露事件可能不会导致许多账号被破解,原因是盗窃者最低仅以1美元的价格来出售这些密码。
赛门铁克指出,银行账号密码售价一般能够达到15美元至850美元,这需要要看账号资金来定。赛门铁克企业部总裁弗朗西斯·德苏扎(Francis deSouza)表示,被盗数据的实用性因网站不同而不同,从而迼成价格差异。
德苏扎指出,被窃的社交网络密码对网络窃贼来说仅具备有限的价值,原因是从整体上来说,窃贼不能直接从这些账号那里赚到钱。此前曾有报道称,如果黑客不能在LinkedIn的网站上使用被盗的密码,那么仍会使用它们来渗入其他网站,前提是用户用同样的密码登录各个不同网站上的账号。
德苏扎对此表示:“对这种黑客攻击行为所作出的回应不该只是更改用户LinkedIn密码,而是更改在任何使用相同密码的网站上的密码。”
挪威IT网站Dagens IT此前报道称,LinkedIn的650万用户密码已泄露,并被发布在俄罗斯一家黑客网站上。信息安全研究人员佩尔·索谢姆(Per Thorsheim)随后也在Twitter上确认了这一消息,称攻击者已经发布了加密密码,并在寻找帮助破解这些密码。芬兰信息安全公司CERT-FI警告称,尽管黑客并未公布相关的用户信息,但攻击者很可能已获得了这些信息。
LinkedIn上周三证实,该网站部分用户的密码确实已遭泄露,不过LinkedIn并未透露网站是否也受到了影响。LinkedIn董事维森特·希维拉(Vicente Silveira)当时在官方博客中表示,“我们能够证实,部分遭泄露的密码确实与LinkedIn的账户有关。”不过LinkedIn并未官方证实具体有多少用户的密码遭泄露。希维拉表示,LinkedIn正在对用户密码遭泄露一事展开调查,并采取措施加强网站的安全性能。
除LinkedIn之外,CBS旗下音乐网站Last.fm和在线约会网站eHarmony的用户密码在上周也都已经被盗,两家公司都建议用户立即更改密码。
伪造账号
对黑客来说,利用LinkedIn等职业社交网站的方式之一是创造伪造的账号,然后将其与黑客账号连接到一起,随后就开始等待。这种连接会让侵入者监控被破解的账号,从而获取有关用户换工作的信息。
一旦监控到这种信息,黑客可能会向其发出电子邮件,假装是新同事或人力资源部门的招聘人员,而如果用户不加怀疑地点击邮件中的恶意链接,那么其电脑就会被黑客控制。
LinkedIn在此前的博客文章中称,被列出的被盗密码中有很多都是“散列的”,或是进行了加密,因此外部人士无法对此进行解读。不过也有一些密码已被解码和公布。
阻止垃圾邮件
根据研究人员弗朗西斯·佩谢(Francois Pesce)在6月8日发布的博客文章称,安全管理公司Qualys的一名研究员就破解了200万个LinkedIn密码,并指出黑客公布密码很可能就是为了寻求破解帮助。
黑客还可利用社交网站密码来向被盗用户的好友发送垃圾邮件,对于象LinkedIn或Facebook等这样用户会积累大量联系人的网站来说更是如此。LinkedIn的用户总数超过1.6亿人,而Facebook则超过9亿人。德苏扎称,禁用密码可阻止这种垃圾邮件。
LinkedIn股价周二在纳斯达克证券市场涨幅不到1%,报收于94.46美元。今年以来,LinkedIn股价的累计涨幅为50%。
