۱۱۷ میلیون رمز عبور سرقت شده‌ی LinkedIn

   
نام نویسنده:
|
دسته بندی:
|
چهار سال پیش، حدود ۶.۵ میلیون رمز عبور شبکه اجتماعی LinkedIn راه خود را به سمت یک انجمن روسی باز کرد. این حادثه یک شرمساری بزرگ برای LinkedIn بود، چرا که رمزهای عبور درهم‌سازی شده و ناخوانا نبودند و بنابراین به راحتی ممکن بود، شکسته شوند.

اگرچه LinkedIn هرگز تعداد حساب‌هایی را که ممکن است سرقت شده باشند، تأیید نکرد، اما به طور کلی میزان این حملات تا این حد برآورد شد. اکنون به نظر می‌رسد که مشکل اندکی بیشتر شده است، در واقع بهتر بگوییم که ۱۸ برابر شدیدتر است. وب‌گاه Motherboard گزارش داده است که یک نفوذگر با نام Peace پیشنهاد فروش ۱۶۷ میلیون حساب کاربری را که از آن میان ۱۱۷ میلیون مورد شامل رمزهای عبور است، به قیمت نازل ۲۲۰۰ دلار (۵ بیت‌کوین) داده است. در حال حاضر تصور می‌شود که این داده‌ها واقعی هستند.

LeadedSource ادعا کرده است که این داده‌ها را در اختیار دارد و دیروز در یکی از ارسال‌های وبلاگ خود نوشته است: «تنها ۱۱۷ میلیون حساب کاربری دارای رمز عبور هستند و ما گمان می‌کنیم که سایر کاربران از طریق فیس‌بوک و شبکه‌های مشابه آن عضو شده‌اند».

تحلیلی که بر روی این رمزهای عبور انجام شده است، نشان می‌دهد که رمز عبور «۱۲۳۴۵۶» بیشترین استفاده را داشته است (۷۵۳۳۰۵ بار)، و چهار بار بیشتر از دومین رمز عبور مورد استفاده یعنی (۱۷۲۵۲۳) به کار رفته است.

جنبه نگران کننده‌ی این قضیه این است که LinkedIn این رمزهای عبور را هنگام رخ دادن این نفوذ درهم‎سازی و ناخوانا نکرده بود. رمزهای عبوری که درهم و ناخوانا نشده باشند، می‌توانند به راحتی شکسته شوند، مخصوصا اگر که این رمزهای عبور ساده و ضعیف نیز باشند. در واقع مادربورد گزارش داده است: «یکی از افراد فعال در LeakeSource به این وب‌گاه گفته است که در یک گفتگوی اینترنتی به او گفته شده ۹۰ درصد از این رمزهای عبور در ظرف مدت ۷۲ ساعت شکسته شده‌اند».  

ما می‌توانیم فرض کنیم که همه‌ی این رمزهای عبور در مدت چهار سال از زمان سرقت توسط این نفوذگران شکسته شده‌اند. در این حالت، وضعیت خیلی نگران کننده نیست، چرا که LinkedIn در آن زمان تنظیم مجدد رمز عبور را اجباری کرد و قابلیت ناخوانا شدن را نیز به رمزهای عبور افزود. با این حال، جمله‌بندی دقیق LinkedIn در تشریح این وضعیت عبارتست از: «کاربرانی که حساب‌ها و رمزهای عبور آنها به خطر افتاده است، باید متوجه باشند که رمزهای عبور این حساب‌ها دیگر معتبر نیستند». دست‎کم به‎طور کلی تلاش شده است که ۶.۵ میلیون از حساب‌های کاربری که می‌دانستند سرقت شده، تنظیم مجدد شوند.

LinkedIn هرگز نگفته که چه تعداد رمز عبور سرقت شده است. یا اینکه این شرکت می‌داند که خیلی بیشتر از ۶.۵ میلیون حساب کاربری سرقت شده و تلاش کرده است تا همه‌ی این رمزهای عبور را بازنشانی کند و یا اینکه صد میلیون کاربر هستند که به اشتباه تصور می‌کرده‌اند، حساب‌های کاربری آنها ظرف چهار سال گذشته در امنیت بوده است.   

LinkedIn در بیان مطالب سخاوت به خرج نمی‌دهد. امروز در یکی از جدیدترین اظهارات ارائه شده توسط کری اسکات (در بخش سیسکوی لینکدین) گفته شده است که در سال ۲۰۱۲، «ما به همه‌ی کاربران LinkedIn توصیه کرده‌ایم که رمز عبور خود را تغییر دهند». آنچه واقعاً می‌توان گفت اینست که تغییر منظم رمز عبور یک شیوه‌ی خوب برای مقابله با این مشکلات است.  

در ادامه‌ی این اظهارات گفته شده است: «دیروز ما آگاه شده‌ایم که در پی سرقت سال ۲۰۱۲، افرادی ادعا کرده‌اند که در ادامه مجموعه‌ی دیگری از داده‌های منتشر شده بیش از صد ملیون حساب کاربری و رمز عبور را در اختیار دارند. ما در حال اقدامات فوری برای بی‌اعتبار کردن رمزهای سرقت شده از این حساب‌های کاربری هستیم و با دارندگان این حساب‌های کاربری تماس گرفته‌ایم تا رمزهای عبور خود را بازنشانی کنند. ما هیچ نشانه‌ای از آن نیافته‌ایم که این کار در نتیجه‌ی یک نفوذ امنیتی جدید بوده است».

همین نظر که در سال ۲۰۱۲ عنوان شد (بی‌اعتبار کردن رمزهای عبور به سرقت رفته) نشان می دهد که بسیاری از حساب‌های کاربری به سرقت رفته در سال ۲۰۱۲، در ظرف چهار سال گذشته در حال استفاده‌ی مداوم بوده‌اند، مگر اینکه کاربران خود رمزهای عبور را تغییر داده باشند.  

شاید این یک پیشنهاد خوب برای همه‌ی کاربران LinkedIn باشد تا رمزهای عبور فعلی خود را با یک رمز عبور قوی در اسرع وقت جایگزین کنند، چه اینکه آنها یک هشدار از LinkedIn دریافت کنند و چه نکنند.  

انتظار از کاربران برای استفاده از احراز هویت دو عامله خوب است اما واقع‌گرایانه نیست. اما یک درس دیگر نیز از این داستان می‌توان گرفت که نمی‌توان از آن چشم‌پوشی کرد. برای چهار سال مداوم نفوذگران به صد میلیون حساب کاربری بدون اینکه عموم مردم بدانند، دسترسی داشته‌اند. مجرمان سایبری امروز کاملاً قادر هستند که یک بازی طولانی و صبورانه را در تلاش برای کسب درآمد به راه بیاندازند و کار هنوز تمام نشده است.

مدیر تحقیقات امنیتی شرکت Rapid۷ تد بردسلی توضیح می‌دهد: «با ارزش‌ترین داده‌هایی که در LinkedIn مورد حمله قرار گرفتند، ابتدا رمزهای عبور نبودند، بلکه رایانامه‌های ثبت شده متصل به این متخصصان کاری بودند. ارسال هرزنامه‌ها بر پایه‌ی نشانی‌های دقیق و فعال رایانامه است و قیمت پایین ۵ بیت‌کوین (تقریبا ۲۲۰۰ دلار) به احتمال زیاد علاقه‌ی قابل‌توجهی را در صنعت هرزنامه‌های امروزی برمی‌انگیزاند. در حالی‎که رمزهای عبور مردم می‌توانند و باید به طور معمول تغییر پیدا کنند، نشانی‌های رایانامه و نام‌های کاربری سال‌ها بدون هیچ مکانیزمی برای تغییر آنها ثابت باقی می‌مانند». 

منبع: وب‌گاه اخبار امنیتی فن‌آوری اطلاعات و ارتباطات

اخبار مرتبط

دیگر اخبار نویسنده

ارسال نظر


شخصی سازی Close
شما در این صفحه قادر به شخصی سازی نمیباشید