商業社群網站LinkedIn爆出會員資料遭駭,日前,有人在俄國論壇張貼了650萬筆LinkedIn會員的密碼,之後有許多用戶在Twitter上表示,發現自己的密碼出現在被公布的清單中,LinkedIn於6/6首度公開承認,有駭客入侵到他們的資料庫,並竊取部分用戶的密碼。
LinkedIn總監Vicente Silveira在其部落格上表示,經內部調查後,已經確認資料遭駭客竊取,目前仍持續調查中。此外,LinkedIn也對此事件做了相對應的處理,所有資料遭駭的用戶其密碼都已經失效,而且會收到email通知,解釋該事件如何發生以及為何他們必須重設密碼。
對於此次資料外洩事件,許多資安專家認為,LinkedIn保護會員密碼的方式不夠嚴謹。Imperva安全研究主管Tal Be''ery表示,LinkedIn會員密碼採用SHA-1加密,然而,許多專家對該加密技術的安全性早已有所質疑,認為其安全性不夠,並建議組織應該使用更難破解的改良式雜湊演算法(salted hash)來保護敏感性更高的資料。
Gartner分析師John Pescatore表示,此資料外洩事件可能導致更多目標式釣魚攻擊,因為LinkedIn對駭客來說是一個很好的研究網站,他們可以從LinkedIn帳號中得到用戶的非公開性資料,以作為發展更精密的目標式釣魚攻擊的參考。
Rapid7安全研究員Marcus Carey表示,這樣的攻擊最危險之處在於,駭客可能已經竊取資料好長一段時間,直到他們自行公布才讓事情曝光。Marcus Carey建議,LinkedIn用戶最好立刻更換密碼,並持續留意LinkedIn對該事件的動態更新,而且如果駭客仍持續進行攻擊,用戶可能必須再度更改密碼。
除了資料外洩外,LinkedIn還同時被爆出有侵犯用戶隱私的疑慮。行動安全研究員Yair Amit和Adi Sharabani發現,LinkedIn會蒐集iOS用戶的行事曆資訊,包括密碼以及會議備忘錄、與誰進行會議等,並在未經使用者的同意下就將資料回傳至該公司伺服器。
LinkedIn解釋,蒐集這些資訊是作為分析用戶的參考,以提供用戶更好的媒合建議,不過為了避免爭議,他們將會停止這樣的做法。LinkedIn行動產品總監Joff Redfern表示,LinkedIn不會再將用戶行事曆的訊息回傳至該公司,此外,他們也提供一個新的 “learn more”連結,用戶如有疑慮,可從該連結獲得其行事曆資料如何被使用的說明。