Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
167 triệu cơ sở dữ liệu người dùng LinkedIn bị rao bán trên chợ đen
Vụ xâm nhập vào dữ liệu LinkedIn năm 2012 nghiêm trọng hơn mọi người từng nghĩ.
Năm 2012, LinkedIn bị ảnh hưởng bởi vụ xâm nhập khổng lồ với hơn 6 triệu thông tin đăng nhập tài khoản người dùng, gồm cả mật khẩu đã mã hóa, bị một tin tặc Nga tung lên mạng. Tuy nhiên, thông tin mới nhất cho thấy, không chỉ 6 triệu người dùng bị lấy cắp thông tin đăng nhập trong vụ xâm nhập. Vụ việc có thể đã dẫn đến việc mua bán trên mạng thông tin tài khoản nhạy cảm, bao gồm địa chỉ email và mật khẩu, của khoảng 117 triệu người dùng LinkedIn.
Gần 4 năm sau vụ xâm nhập, tin tặc có nickname “Peace” vừa rao bán cơ sở dữ liệu của 167 triệu email và mật khẩu băm, bao gồm 117 triệu mật khẩu đã được crack, tất cả của người dùng LinkedIn.
Tin tặc rao bán dữ liệu trên chợ đen “The Real Deal” với giá 5 bitcoin (gần 2.200 USD), cho biết các thông tin đăng nhập này đến từ vụ xâm nhập dữ liệu LinkedIn vào năm 2012.
Do các mật khẩu được mã hóa ban đầu bằng thuật toán SHA1, không salt (trộn các ký tự ngẫu nhiên với password nhằm đảm bảo an toàn), nên công cụ tìm kiếm LeakedSource sẽ mất khoảng 72 giờ để crack khoảng 90% các mật khẩu.
Chuyên gia an ninh mạng Troy Hunt (chủ website “Have I Been Pwned?”cho biết đã liên hệ với một số nạn nhân và được xác nhận thông tin đăng nhập bị rao bán là chính xác.
Toàn bộ vụ việc cho thấy LinkedIn đã lưu trữ mật khẩu người dùng không an toàn, và hãng không biết chính xác quy mô vụ xâm nhập tại thời điểm đó.
Phản hồi về thông tin vụ việc, đại diện LinkedIn cho biết hãng vẫn đang điều tra về vấn đề.
Vào năm 2015, khi tranh tụng vụ xâm nhập, LinkedIn đồng ý bồi thường tổng cộng 1,25 triệu USD cho các nạn nhân tại Mỹ, tức là 50$ cho mỗi người. Theo vụ kiện, công ty đã vi phạm chính sách an ninh và thỏa thuận với người dùng “cao cấp” về việc giữ an toàn thông tin cá nhân của họ.
Tuy nhiên, hiện tại thông tin mới cho thấy có tới167 triệu tài khoản LinkedIn bị xâm nhập, chứ không phải 6 triệu như đã được công bố. Giả sử, chỉ khoảng 30% tài khoản LinkedIn bị hack là của các công dân tại Mỹ, thì công ty này sẽ phải bồi thường hơn 15 triệu USD.
Cùng với đó, người dùng được khuyến cáo nên thay đổi mật khẩu (dài hơn và mạnh hơn), đồng thời kích hoạt xác thực 2 bước cho các tài khoản LinkedIn sớm nhất có thể. Người dùng cũng nên làm tương tự với các tài khoản trực tuyến nếu dùng chung mật khẩu cho nhiều trang khác nhau.
Nguồn: The Hacker News
Năm 2012, LinkedIn bị ảnh hưởng bởi vụ xâm nhập khổng lồ với hơn 6 triệu thông tin đăng nhập tài khoản người dùng, gồm cả mật khẩu đã mã hóa, bị một tin tặc Nga tung lên mạng. Tuy nhiên, thông tin mới nhất cho thấy, không chỉ 6 triệu người dùng bị lấy cắp thông tin đăng nhập trong vụ xâm nhập. Vụ việc có thể đã dẫn đến việc mua bán trên mạng thông tin tài khoản nhạy cảm, bao gồm địa chỉ email và mật khẩu, của khoảng 117 triệu người dùng LinkedIn.
Gần 4 năm sau vụ xâm nhập, tin tặc có nickname “Peace” vừa rao bán cơ sở dữ liệu của 167 triệu email và mật khẩu băm, bao gồm 117 triệu mật khẩu đã được crack, tất cả của người dùng LinkedIn.
Tin tặc rao bán dữ liệu trên chợ đen “The Real Deal” với giá 5 bitcoin (gần 2.200 USD), cho biết các thông tin đăng nhập này đến từ vụ xâm nhập dữ liệu LinkedIn vào năm 2012.
Do các mật khẩu được mã hóa ban đầu bằng thuật toán SHA1, không salt (trộn các ký tự ngẫu nhiên với password nhằm đảm bảo an toàn), nên công cụ tìm kiếm LeakedSource sẽ mất khoảng 72 giờ để crack khoảng 90% các mật khẩu.
Chuyên gia an ninh mạng Troy Hunt (chủ website “Have I Been Pwned?”cho biết đã liên hệ với một số nạn nhân và được xác nhận thông tin đăng nhập bị rao bán là chính xác.
Toàn bộ vụ việc cho thấy LinkedIn đã lưu trữ mật khẩu người dùng không an toàn, và hãng không biết chính xác quy mô vụ xâm nhập tại thời điểm đó.
Phản hồi về thông tin vụ việc, đại diện LinkedIn cho biết hãng vẫn đang điều tra về vấn đề.
Vào năm 2015, khi tranh tụng vụ xâm nhập, LinkedIn đồng ý bồi thường tổng cộng 1,25 triệu USD cho các nạn nhân tại Mỹ, tức là 50$ cho mỗi người. Theo vụ kiện, công ty đã vi phạm chính sách an ninh và thỏa thuận với người dùng “cao cấp” về việc giữ an toàn thông tin cá nhân của họ.
Tuy nhiên, hiện tại thông tin mới cho thấy có tới167 triệu tài khoản LinkedIn bị xâm nhập, chứ không phải 6 triệu như đã được công bố. Giả sử, chỉ khoảng 30% tài khoản LinkedIn bị hack là của các công dân tại Mỹ, thì công ty này sẽ phải bồi thường hơn 15 triệu USD.
Cùng với đó, người dùng được khuyến cáo nên thay đổi mật khẩu (dài hơn và mạnh hơn), đồng thời kích hoạt xác thực 2 bước cho các tài khoản LinkedIn sớm nhất có thể. Người dùng cũng nên làm tương tự với các tài khoản trực tuyến nếu dùng chung mật khẩu cho nhiều trang khác nhau.
Nguồn: The Hacker News