Các tin tặc Nga đã đưa ra một danh sách khổng lồ các mật khẩu (password) đã bị đánh cắp và các nhà nghiên cứu an ninh ngày 6/6 đã xác định là của trang mạng xã hội LinkedIn.
<>
Các nhà nghiên cứu cho biết các mật khẩu của LinkedIn được bảo vệ bằng cơ chế an ninh yếu |
LinkedIn đã khẳng định trong một đăng tải blog cuối ngày hôm qua rằng một số mật khẩu liên quan đến các tài khoản LinkedIn.
Công ty này không thông tin về việc các mật khẩu bị đánh cắp như thế nào hoặc phạm vi của vụ việc nhưng cho biết đang tiếp tục điều tra vấn đề này.
6,5 triệu mật khẩu đã bị đánh cắp được đăng tải hôm thứ 2 ngày 4/6 trên một diễn đàn trực tuyến của Nga, được cho là ngụy trang bằng mật mã hình ảnh chung là SHA-1. Đây là một định dạng được cho là yếu nếu các cảnh báo sớm không được thực hiện. Gần 1 nửa các mật khẩu bị đánh cắp đã được giải mã và đăng tải trực tuyến có thể đọc được theo dạng văn bản.
Nhiều chuyên gia an ninh đã đăng tải hôm qua rằng họ đã tìm thấy các mật khẩu trong số những mật khẩu được thông báo. Hãng an ninh web Sophos cho biết Sophos đã tìm thấy nhiều mật khẩu riêng của các nhà nghiên cứu đã được sử dụng rộng rãi trên LinkedIn.
Nhiều mật khẩu không đếm được trong danh sách có từ "linkedin." Trên một diễn đàn tin tặc phổ biến, nhiều mật khẩu được tìm thấy đã đăng tải ở đây như "linkedout," "recruiter," "googlerecruiter," "toprecruiter," "superrecruiter," "humanresources" và "hiring."
Có cả mặt xấu và mặt tốt về vụ mất cắp mật khẩu này.
Mặt tốt là cho tới nay không có tên người sử dụng (user name) nào đã được phát hiện trong danh sách này. Điều này khuyến cáo bạn thay đổi mật khẩu.
Tin xấu là LinkedIn đang sử dụng kiểu mã hóa lỗi thời để bảo vệ các thông tin cá nhân của người sử dụng. Công ty này nên biết cách bảo vệ danh sách của mình an toàn hơn ngoài cách SHA-1, các chuyên gia cho biết.
Vấn đề với SHA-1 là nó biên dịch cùng văn bách mỗi lần theo cùng cách. Do đó nếu mật khẩu của bạn là “mật khẩu” và mật khẩu của người bạn của bạn cũng là “mật khẩu”, thì tất cả mật khẩu bị đánh cắp theo cùng một cách. Điều này làm đảo quy trình để phát hiện ra mật khẩu ban đầu dễ dàng hơn nhiều.
Đó là lý do tại sao các chuyên gia an ninh khuyến cáo các công ty với các danh sách dữ liệu khổng lồ riêng tư như LinkedIn tăng cường lớp an ninh khác gọi là “salt”.
Salt ngẫu nhiên bổ sung thêm một mẩu thông tin khác vào mật khẩu. Đó có thể tên người dùng, tên, tên đệm, hoặc một số ngẫu nhiên - theo đó có thể làm thay đổi văn bản cơ sở đủ khả năng không bị giải mã.
“Bất kỳ tổ chức nào sử dụng SHA-1 mà không tăng cường các mật khẩu người sử dụng là đang tạo ra một rủi ro lớn. Chúng ta hãy chứng kiến điều này cùng với thời gian. Đây không phải là một thực tế tối ưu. Salt nên là điều kiện tối thiểu”, Per Thorsheim, Trưởng tư vấn an ninh thông tin tại công ty dịch vụ CNTT Na Uy EVRY cho biết.
Trong một đăng tải trên blog, LinkedIn cho biết LinkedIn gần đây đã tăng cường khả năng an ninh tại chỗ các cơ sở dữ liệu mật khẩu hiện tại. Phát ngôn viên của LinkedIn từ chỗ bình luận việc “gần đây” an ninh được tăng cường.
Chỉ có tin không hay là hơn 6,5 triệu mật khẩu của người sử dụng đã bị đánh cắp.
<>HY