LinkedIn泄密：保護不力 黑客一秒測試百萬條密碼

北京時間6月11日消息，《紐約時報》報道稱，LinkedIn是一家數(shù)據(jù)公司，但它沒有保護好自己的數(shù)據(jù)。

上周，黑客攻破網(wǎng)站，竊取600萬用戶密碼，這些密碼保護不周。密碼被公布在俄羅斯黑客論壇上，人人可以看見。LinkedIn被攻擊并非所有人都吃了一驚。每天，企業(yè)電腦系統(tǒng)都要受到攻擊。實際上，CBS音樂網(wǎng) Lastfm.com和約會網(wǎng)站eHarmony上周也受到攻擊，數(shù)百萬密碼被偷。

LinkedIn漫不經(jīng)心

讓客戶和安全專家吃驚的是，以收集大量數(shù)據(jù)并靠它盈利的企業(yè)，數(shù)據(jù)保護方式如何之簡單。泄露事件使得人們開始懷疑LinkedIn的電腦安全。盡管入侵不斷增加，但一些擁有客戶數(shù)據(jù)的企業(yè)仍然繼續(xù)在自有電腦安全上下賭注。

舊金山電腦安全公司 Cryptography Research克歇爾(Paul Kocher)說：“如果它們請教那些知道密碼安全一切詳情的人，這事就不會發(fā)生。”

之所以造成這樣的問題，部分原因在于漫不經(jīng)心的數(shù)據(jù)保護態(tài)度，因為造成嚴重后果十分罕見。沒有法律上的罰款?？蛻艉苌倭魇АＲ訪inkedIn為例，在泄露之后它的股價實際上上漲了。

真正讓大家擔心的問題在于LinkedIn不是一家創(chuàng)業(yè)公司，也不是一家對數(shù)據(jù)不熟悉的企業(yè)。去年5月，它成功IPO，它擁有大量現(xiàn)金，它招聘高級人才，而且盈利。它有1.6億會員，這些人分享自己的企業(yè)關(guān)系，希望建立一個更寬廣更有效的網(wǎng)絡(luò)。他們希望自己的網(wǎng)絡(luò)受到保護。

Buzzmedia專業(yè)音樂家、產(chǎn)品經(jīng)理史密斯(Craig Robert Smith)說：“我希望LinkedIn做得更好些。但我沒有刪除帳號，因為它是一個與被招募、網(wǎng)絡(luò)有關(guān)的網(wǎng)站。”目前尚不清楚黑客如何攻入系統(tǒng)的，也不知道它們在系統(tǒng)中呆了多長時間。LinkedIn沒有設(shè)置首席安全官，讓他監(jiān)督泄露事件。公司的運營資深副總裁大衛(wèi)·亨特(David Henke)兼管安全問題，還有其它職責。

黑客一秒測試一百萬密碼

如果按A級至F級來評價，最高級為A級，專家說LinkedIn、eHarmony和Lastfm.com最多可以拿D級。對待用戶密碼，公司最大意的地方在于將它以純文本形式存儲。RockYou在2009年時被竊取300萬用戶密碼，就是屬于這種失誤。為了保護密碼，最基本的一部保護措施就是進行基本加密，也就是所謂的“散列法”，用一種數(shù)學(xué)算法對密碼進行掩飾，然后用編碼進行存儲。

不過，黑客通過自動工具，能在一秒測試一百萬密碼。它們可以破解散列密碼，一般是利用所謂的字典、敏感在線通用密碼數(shù)據(jù)庫破解。一些網(wǎng)站包涵外文子表，甚至是宗教式的密碼(比如天使angel，神God，這些在破解的LinkedIn密碼中排在前15位)。還有一些黑客使用“彩虹表(rainbow tables)”來破解，上面例有幾乎所有數(shù)字字母字符組合哈希值表。一些網(wǎng)站會公布500億哈希值。

為了防止黑客破解，一些公司會采用一系列的隨機數(shù)，將它們添加在每個哈希值后，也就是所謂的“salting”，這種技術(shù)可以隨機顛倒私有密鑰的數(shù)字，它只需要幾行代碼，幾乎沒有任何成本。

安全專家稱，對密碼進行salting是安全手冊第一條，但LinkedIn、eHarmony和Lastfm.com都沒有這樣做。在A+級安全級別中，會設(shè)置散列密碼、擁有復(fù)雜的暗號功能，進行salting，再將結(jié)果轉(zhuǎn)成散列密碼，將授權(quán)證書另外存放，確保服務(wù)器不能被黑客攻入。

克歇爾說：“這不是什么復(fù)雜的事。”

后果

在泄露之后，Linked一位高管維森特·圣卡塔林納(Vicente Silveira)在博客中說，公司已經(jīng)將一般性密碼無效化，并說會員會受益于增強的安全措施，這些措施包括將密碼散列化，并對目前的密碼數(shù)據(jù)庫進行salting。LinkedIn新聞發(fā)言人沒有透露何時對密碼進行散列化、salting化，也沒有解釋為何不在一開始就使用。

表面來看，安全性一般的LinkedIn帳號泄露不會有會大的惡果。但是黑客深知用戶的心態(tài)，他們會在許多網(wǎng)站用相同的密碼，他們會在郵箱、銀行、企業(yè)、傭金帳戶上使用同一密碼，這樣一來，黑客可以盜取個人和金融數(shù)據(jù)。

以LinkedIn為例，黑客貼出640萬散列密碼，讓其它人協(xié)助破解。到周四，大約60%的密碼已經(jīng)被破解。克歇爾估計最終95%會破解。

在博文中，LinkedIn指出與密碼相關(guān)的用戶名沒有被展示出來，但安全專家稱，這可能只是因為發(fā)布的網(wǎng)站將用戶名自己留下來。

格羅斯曼(Jeremiah Grossman)說：“你沒有將王冠上的珍珠給別人，是為了讓別人爭奪。”

升級安全 一次性成本幾百萬美元

黑客的動機十分明顯。但讓安全專家真正感覺神秘的是為什么泄露會不斷發(fā)生。格羅斯曼估計，對于像LinkedIn這樣的公司來說，設(shè)立合適的密碼、網(wǎng)絡(luò)服務(wù)器、應(yīng)用安全，一次性成本大約幾百萬美元。而據(jù)賽門鐵克的研究指出，一宗泄露平均成本550萬美元，也就是第條記錄泄露成本194美元。

格羅斯曼展示了兩張表。一張是飛機每英里失事機率，現(xiàn)在已經(jīng)掉到只有1945年時的千分之一，主要得益于1958年美國聯(lián)邦航空管理局(Federal Aviation Administration)建立、并制定了更安全更嚴格的安全協(xié)定。還有一張表是電腦新安全威脅表，它的結(jié)果完全相反。自從2002年以來，新威脅增長了1萬倍。

克歇克及其它安全專家認為，問題在于缺少責任。電腦安全是不規(guī)則的，敏感的個人、企業(yè)、財務(wù)信息每天不斷上傳，企業(yè)不斷跳過基本保護。如果美國明天有5%的飛機要出事，就會有調(diào)查、有訴訟、會削減航線、航空股也會重挫。但在社交網(wǎng)絡(luò)，克歇爾說：“人們的投票沒有跟上腳步。”

自從周三泄露被公布以來，LinkedIn沒有透露有多少用戶退出服務(wù)，盡管黑客不斷在努力破解密碼，公司的股價到周末時仍上漲了4%。

格羅斯曼說：“每次墜機FAA就會調(diào)查，數(shù)據(jù)也會不斷披露。至于泄露就沒有這回事。沒有政府機構(gòu)管。我們不知道哪里起火了，也不知道火是怎么來的。”