[HVA News] – 6,5 triệu mật khẩu LinkedIn đang bị phơi bày trên mạng


Nguồn: http://www.hvaonline.net/hvaonline/posts/list/42573.hva

Các diễn đàn, trang tin trên Internet hiện đang loan báo về một danh sách chứa khoảng 6,5 triệu chuỗi băm (hash) của mật khẩu được cho là của mạng xã hội nổi tiếng LinkedIn. Hiện có khoảng 300 nghìn mật khẩu đã giải mã được công bố. 

Danh sách này không bao gồm tên người dùng và địa chỉ email mà chỉ chứa các giá trị băm SHA-1 của mật khẩu. Vậy nên nếu chỉ có trong tay mật khẩu được giải mã thì cũng không dễ dàng gì có thể truy cập tới một tài khoản thích hợp. Tuy nhiên, không loại trừ trường hợp kẻ xấu tóm được chuỗi băm cùng với địa chỉ email tương ứng.

Các mật khẩu đã được giải mã thường chứa từ “linked” và “linkedin”, ví dụ, “lawrencelinkedin”. Điều này gợi lên rằng mật khẩu rất có thể được dùng cho tài khoản LinkedIn, tuy điều này vẫn chưa được xác nhận.

Một thực tế đáng lo ngại là ngay cả với các mật khẩu khá phức tạp và khó đoán như “parikh093760239”, “a06v1203n08” và “376417miata?” cũng bị bẻ khóa thành công. Nguyên nhân là do các chuỗi băm được tạo ra mà không đi kèm giá trị salt nên có thể sử dụng kỹ thuật rainbow table để giải mã chỉ sau vài giờ. Để ngăn chặn nguy cơ này, xem thêm bài viết này tại The H Security.

Dù gì chăng nữa, nếu bạn có tài khoản LinkedI thì tốt nhất là đổi mật khẩu ngay lập tức. Nếu có dùng chung mật khẩu ở LinkedIn với các tài khoản quan trọng khác như ngân hàng, thư điện tử thì cũng nên đổi luôn mật khẩu cho các tài khoản đó.

Vào hôm qua (6/6), LinkedIn đã xác nhận trên trang Twitter rằng họ đang xem xét các bản báo cáo về sự cố hàng triệu mật khẩu bị đánh cắp này. Cùng lúc đó, theo các nguồn đáng tin cậy thì họ đã tìm thấy các mật khẩu của LinkedIn trong danh sách. Vì vậy mà khả năng cao là hệ thống của LinkedIn đang thực sự có vấn đề.

Ngoài ra, trên Internet đang xuất hiện các trang web yêu cầu cung cấp mật khẩu LinkedIn hiện tại để giúp bạn xác minh xem mật khẩu đó có nằm trong danh sách kia không. Đây thực chất là những website lừa đảo. Các chuyên gia cũng lo ngại rằng sẽ có làn sóng thư rác gửi tới người dùng để mời gọi họ đổi mật khẩu thông qua một đường dẫn (URL) tới một trang web mạo danh LinkedIn.

Vậy nên, để an toàn thì người dùng cần truy cập trực tiếp tới trang chủ tại linkedin.com và thực hiện đổi mật khẩu. Lưu ý, khi đổi mật khẩu nên chọn một mật khẩu ngẫu nhiên hoặc không trùng với các mật khẩu quan trọng khác.

— Cập nhật thêm:
LinkedIn sẽ gửi 2 email tới các tài khoản bị ảnh hưởng để hướng dẫn người dùng thay đổi mật khẩu. Đồng thời họ cũng nâng cấp CSDL mật khẩu bằng cách hỗ trợ thêm salt trong việc tạo hash. Xem: http://blog.linkedin.com/2012/06/06/linkedin-member-passwords-compromised/

manthang – HVA News

Tham khảo:
[0] http://www.h-online.com/security/news/item/LinkedIn-passwords-in-circulation-Update-1612022.html

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s