Mạng xã hội nghề nghiệp lớn nhất thế giới là nạn nhân mới nhất của tin tặc mũ đen khi mật khẩu của gần 6,5 triệu tài khoản của họ bị công bố trên một diễn đàn.
Một tin tặc hôm 3/6 đã gửi lên diễn đàn danh sách mã băm SHA-1 của khoảng 1,5 triệu mật khẩu và nhờ... crack hộ. Chỉ hơn hai giờ sau, 3/4 số mật khẩu này bị crack. Danh sách mật khẩu này được cho là của dịch vụ hẹn hò trên mạng eHarmony.
Sau đó, cũng chính tin tặc trên lại gửi một danh sách khác gồm 6,46 triệu mã băm SHA-1. Đây là mã băm của mật khẩu và không có muối, nên việc dò tìm mật khẩu cũng nhanh hơn rất nhiều. Dù vậy, độ phức tạp của các mật khẩu trong danh sách này khá cao, chứng tỏ đa phần thành viên rất nghiêm túc trong việc chọn mật khẩu.
Một số thành viên phát hiện ra rằng mật khẩu của họ, vốn chỉ dùng trong LinkedIn, có trong danh sách trên. Ngay lập tức, giả thuyết được đưa ra là mạng xã hội nghề nghiệp này đã để lộ mật khẩu. Đến cuối ngày, LinkedIn đưa ra thông báo chính thức về việc này, cho biết những thành viên lộ mật khẩu đều được gửi thư thông báo và yêu cầu phải tạo mật khẩu mới trước khi đăng nhập.
Có nhiều chi tiết thú vị về danh sách mật khẩu này của LinkedIn:
- Độ phức tạp của mật khẩu khá cao: có nhiều mật khẩu phức tạp, gồm số, chữ hoa, các kí tự đặc biệt ở dòng trên cùng của bàn phím.
- Có 3,5 triệu mã băm bắt đầu bằng 00000 - các chuyên gia cho rằng tin tặc đã giải mã được những mật khẩu này và thay 5 kí tự đầu tiên bằng 00000. Thật vậy, các mật khẩu đơn giản như "password" có mã băm là 5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8 nhưng mã này không tồn tại trong danh sách, thay vào đó là 000001e4c9b93f3f0682250b6cf8331b7ee68fd8. Tương tự với các chuỗi như "secret" hay "linkedin".
- 2,9 triệu mã băm không bắt đầu bằng 00000 có thể giải mã tức thời bằng phương pháp John the Ripper (tức là các mật khẩu này có trong "từ điển" được tính sẵn từ trước).
- Danh sách này không chứa giá trị trùng nhau. Do đó, số tài khoản bị lộ phải nhiều hơn con số 6,5 triệu.
- Danh sách này không chứa tên đăng nhập, nên mặc dù được công bố rộng rãi nhưng không ai có thể khai thác được. Tất nhiên, chúng ta có thể suy luận rằng, tin tặc có danh sách kèm với tên đăng nhập, nhưng không công bố ra, vì điều này không giúp ích gì trong việc giải mã mật khẩu.
Cuối cùng, có lẽ bạn nên đổi mật khẩu LinkedIn ngay bây giờ trước khi quá muộn.