ข้อมูลการละเมิดที่ LinkedIn เว็บไซต์เชิงธุรกิจที่มุ่งเน้นเครือข่ายสังคมได้สร้างแคมเปญสแปมที่พยายามใช้ประโยชน์จากผู้ใช้ที่กังวลว่ารหัสผ่านของตนอยู่ในหมู่ 6.46 ล้านคนที่โพสต์บนอินเทอร์เน็ต

"เนื่องจากอีเมลที่คล้าย ๆ กันนั้นมีการหมุนเวียนอยู่เป็นระยะ ๆ บางครั้งก็ยากที่จะพูดว่านี่เป็นตัวอย่างหรือไม่ (เช่นการรับอีเมลฟิชชิ่งเพื่อขอให้คุณรีเซ็ตรหัสผ่านธนาคารออนไลน์ของ Bank of America สองวันหลังจากที่คุณเปิดบัญชี) ed บัญชีที่นั่น), "Cameron Camp, นักวิจัยด้านความปลอดภัยของ Eset, เขียนในบล็อกของ บริษัท

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]

ข้อความ LinkedIn ที่ปลอมแปลงขึ้น การสื่อสารที่แท้จริงจากเว็บไซต์ขอให้ผู้รับยืนยันที่อยู่อีเมลของตนและมีลิงก์สำหรับการดำเนินการดังกล่าว การคลิกลิงก์ทำให้เป้าหมายไปยังร้านขายยาออนไลน์ที่ไม่ถูกต้องซึ่งขาย Viagra และยาอื่น ๆ

แคมเปญนี้ไม่สามารถเกิดขึ้นได้ในเวลาที่เลวร้ายยิ่งสำหรับ LinkedIn ซึ่งใช้อีเมลเพื่อสื่อสารกับสมาชิกที่ได้รับผลกระทบจากการละเมิดที่รุนแรง ของระบบของตน

ตระหนักดีว่าการคลิกลิงก์ในอีเมลเป็นการปฏิบัติด้านความปลอดภัยที่ไม่ดี LinkedIn ใช้กระบวนการสองขั้นตอน ผู้ใช้ที่ได้รับผลกระทบจากการละเมิดครั้งแรกจะได้รับอีเมลโดยไม่มีลิงก์ใด ๆ เลย สมาชิกจะได้รับอีเมลฉบับที่สองโดยใช้ลิงก์รีเซ็ตรหัสผ่าน

หลังจากเสร็จสิ้นขั้นตอนเหล่านี้และขอความช่วยเหลือเกี่ยวกับรหัสผ่านแล้วสมาชิกจะได้รับอีเมลฉบับที่สองโดยใช้ลิงก์รีเซ็ตรหัสผ่าน < เป็นที่น่าสังเกตว่าสมาชิกที่ได้รับผลกระทบซึ่งอัปเดตรหัสผ่านและสมาชิกที่มีรหัสผ่านไม่ได้รับผลกระทบจะได้ประโยชน์จากการรักษาความปลอดภัยขั้นสูงที่เราเพิ่งวางไว้ซึ่งรวมถึงการแฮชและการกลั่นกรองฐานข้อมูลรหัสผ่านปัจจุบันของเราด้วย "ผู้อำนวยการของ LinkedIn, Vicente Silveira, เขียนไว้ในบล็อกของ บริษัท

LinkedIn ถูกวิพากษ์วิจารณ์เมื่อมีการเปิดเผยว่าละเมิดไม่ให้ "ข่มขู่" รหัสผ่านของสมาชิก การแฮกรหัสผ่านจะเข้ารหัสลับเพื่อไม่ให้คนอื่นเข้าใจผิดด้วยตาเปล่า แต่แผนการ hashing จะทำให้ hash เหมือนกันสำหรับรหัสผ่านเดียวกัน ดังนั้นสำหรับไซต์ทั้งหมดที่ใช้รูปแบบการเข้ารหัสเช่น SHA-1 รหัสผ่านเช่น linkedin123 จะมีแฮชเดียวกันในทุกไซต์ ที่ทำให้ hashes ง่ายต่อการร้าวด้วยเครื่องมืออ้างอิงที่ถูกต้อง

การสลัด hashes เพิ่มอักขระแบบสุ่มลงในแฮช ที่ทำให้แต่ละแฮชมีเอกลักษณ์และยากที่จะ crack

LinkedIn ไม่ใช่เว็บไซต์เพียงแห่งเดียวที่แฮกเกอร์กำหนดเป้าหมายในสัปดาห์นี้ เว็บไซต์หาคู่ออนไลน์ eHarmony ได้รับการเจาะและ 1.5 ล้าน hashes รหัสผ่านถูกโพสต์ในเว็บ

แฮกเกอร์มักโพสต์ hashes พวกเขากำลังมีปัญหาในการ crack อินเทอร์เน็ตเพื่อขอความช่วยเหลือจากเพื่อนร่วมงานในการถอดรหัสรหัสผ่าน

ทำตาม freelance นักเขียนด้านเทคโนโลยี John P. Mello Jr. และ Today @ PCWorld บน Twitter