banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thông tin new bugs và exploits (HVA News) 6,5 triệu mật khẩu LinkedIn đang bị phơi bày trên mạng  XML
  [News]   (HVA News) 6,5 triệu mật khẩu LinkedIn đang bị phơi bày trên mạng 07/06/2012 10:13:29 (+0700) | #1 | 264795
[Avatar]
manthang
Journalist

[Minus]    0    [Plus]
Joined: 30/06/2008 16:36:58
Messages: 140
Offline
[Profile] [PM] [WWW]
6,5 triệu mật khẩu LinkedIn đang bị phơi bày trên mạng

Các diễn đàn, trang tin trên Internet hiện đang loan báo về một danh sách chứa khoảng 6,5 triệu chuỗi băm (hash) của mật khẩu được cho là của mạng xã hội nổi tiếng LinkedIn. Hiện có khoảng 300 nghìn mật khẩu đã giải mã được công bố.

Danh sách này không bao gồm tên người dùng và địa chỉ email mà chỉ chứa các giá trị băm SHA-1 của mật khẩu. Vậy nên nếu chỉ có trong tay mật khẩu được giải mã thì cũng không dễ dàng gì có thể truy cập tới một tài khoản thích hợp. Tuy nhiên, không loại trừ trường hợp kẻ xấu tóm được chuỗi băm cùng với địa chỉ email tương ứng.

Các mật khẩu đã được giải mã thường chứa từ "linked" và "linkedin", ví dụ, "lawrencelinkedin". Điều này gợi lên rằng mật khẩu rất có thể được dùng cho tài khoản LinkedIn, tuy điều này vẫn chưa được xác nhận.

Một thực tế đáng lo ngại là ngay cả với các mật khẩu khá phức tạp và khó đoán như "parikh093760239", "a06v1203n08" và "376417miata?" cũng bị bẻ khóa thành công. Nguyên nhân là do các chuỗi băm được tạo ra mà không đi kèm giá trị salt nên có thể sử dụng kỹ thuật rainbow table để giải mã chỉ sau vài giờ. Để ngăn chặn nguy cơ này, xem thêm bài viết sau [1] tại The H Security.

Dù gì chăng nữa, nếu bạn có tài khoản LinkedI thì tốt nhất là đổi mật khẩu ngay lập tức. Nếu có dùng chung mật khẩu ở LinkedIn với các tài khoản quan trọng khác như ngân hàng, thư điện tử thì cũng nên đổi luôn mật khẩu cho các tài khoản đó.

Vào hôm qua (6/6), LinkedIn đã xác nhận trên trang Twitter rằng họ đang xem xét các bản báo cáo về sự cố hàng triệu mật khẩu bị đánh cắp này. Cùng lúc đó, theo các nguồn đáng tin cậy thì họ đã tìm thấy các mật khẩu của LinkedIn trong danh sách. Vì vậy mà khả năng cao là hệ thống của LinkedIn đang thực sự có vấn đề.

Ngoài ra, trên Internet đang xuất hiện các trang web yêu cầu cung cấp mật khẩu LinkedIn hiện tại để giúp bạn xác minh xem mật khẩu đó có nằm trong danh sách kia không. Đây thực chất là những website lừa đảo. Các chuyên gia cũng lo ngại rằng sẽ có làn sóng thư rác gửi tới người dùng để mời gọi họ đổi mật khẩu thông qua một đường dẫn (URL) tới một trang web mạo danh LinkedIn.

Vậy nên, để an toàn thì người dùng cần truy cập trực tiếp tới trang chủ tại linkedin.com và thực hiện đổi mật khẩu. Lưu ý, khi đổi mật khẩu nên chọn một mật khẩu ngẫu nhiên hoặc không trùng với các mật khẩu quan trọng khác.

manthang - HVA News

Tham khảo:
[0] http://www.h-online.com/security/news/item/LinkedIn-passwords-in-circulation-Update-1612022.html
[1] http://www.h-online.com/security/features/Storing-passwords-in-uncrackable-form-1255576.html
keep -security- in -mind-
[Up] [Print Copy]
  [News]   (HVA News) 6,5 triệu mật khẩu LinkedIn đang bị phơi bày trên mạng 07/06/2012 11:39:39 (+0700) | #2 | 264803
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Anh chị em có thể vào trang sau kiểm tra password tài khoản Linkedin của mình có nằm trong danh sách các password hash đã bị thỏa hiệp và công bố bởi hacker này hay không:

LastPass - LinkedIn Password Checker
https://lastpass.com/linkedin/

Một kết quả kiểm tra cho mọi người tham khảo:
Your password was NOT one of the ones that was compromised.

Despite this fact, you may still be at significant risk since the hackers might have only posted a partial list.

We strongly recommend that you follow our recommendations above and immediately change your LinkedIn and related passwords. 
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [News]   (HVA News) 6,5 triệu mật khẩu LinkedIn đang bị phơi bày trên mạng 07/06/2012 11:56:46 (+0700) | #3 | 264804
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Một trang kiểm tra password khác anh chị em có thể dùng là:
http://leakedin.org/

Một kết quả kiểm tra tham khảo:
Looks like your password was not leaked. Hooray!
 
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [News]   (HVA News) 6,5 triệu mật khẩu LinkedIn đang bị phơi bày trên mạng 07/06/2012 12:24:49 (+0700) | #4 | 264807
[Avatar]
manthang
Journalist

[Minus]    0    [Plus]
Joined: 30/06/2008 16:36:58
Messages: 140
Offline
[Profile] [PM] [WWW]

bolzano_1989 wrote:
Một trang kiểm tra password khác anh chị em có thể dùng là:
http://leakedin.org/

Một kết quả kiểm tra tham khảo:
Looks like your password was not leaked. Hooray!
 
 


Danh sách trên không chứa các hash password bị trùng lắp. LinkedIn có hơn 161 triệu người dùng, nên khả năng đây không phải là trọn bộ CSDL tài khoản của LinkedIn. Nhưng cũng không thể biết được liệu hacker còn giấu phần nào đó của CSDL hash này mà chưa tung lên không. Và cũng không chắc được là hệ thống của LinkedIn còn bị xâm nhập hay không.

Vì vậy việc xác minh qua trang LastPass.com hay leakedin.org nói trên cũng không đảm bảo là tài khoản của mình vẫn an toàn.
Cách tốt nhất là đổi lại mật khẩu LinkedIn và các tài khoản quan trọng khác dùng chung mật khẩu này.
keep -security- in -mind-
[Up] [Print Copy]
  [News]   (HVA News) 6,5 triệu mật khẩu LinkedIn đang bị phơi bày trên mạng 07/06/2012 12:27:21 (+0700) | #5 | 264808
[Avatar]
manthang
Journalist

[Minus]    0    [Plus]
Joined: 30/06/2008 16:36:58
Messages: 140
Offline
[Profile] [PM] [WWW]
Tham khảo thảo luận về sự cố này ở đây:
http://news.ycombinator.com/item?id=4073309
keep -security- in -mind-
[Up] [Print Copy]
  [News]   (HVA News) 6,5 triệu mật khẩu LinkedIn đang bị phơi bày trên mạng 07/06/2012 12:40:17 (+0700) | #6 | 264810
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

manthang wrote:

bolzano_1989 wrote:
Một trang kiểm tra password khác anh chị em có thể dùng là:
http://leakedin.org/

Một kết quả kiểm tra tham khảo:
Looks like your password was not leaked. Hooray!
 
 


Danh sách trên không chứa các hash password bị trùng lắp. LinkedIn có hơn 161 triệu người dùng, nên khả năng đây không phải là trọn bộ CSDL tài khoản của LinkedIn. Nhưng cũng không thể biết được liệu hacker còn giấu phần nào đó của CDSL hash này mà chưa tung lên không. Và cũng không chắc được là hệ thống của LinkedIn còn bị xâm nhập hay không.

Vì vậy việc xác minh qua trang LastPass.com hay leakedin.org nói trên cũng không đảm bảo là tài khoản của mình vẫn an toàn.
Cách tốt nhất và là đổi lại mật khẩu LinkdeIn và các tài khoản quan trọng khác dùng chung mật khẩu này. 


Theo tìm hiểu của mình thì không phải là do danh sách trên "không chứa các hash password bị trùng lắp" nên không phủ được tất cả các password hash đâu manthang. Tay hacker này cũng chẳng phải có lòng muốn chia sẻ danh sách hash cùng tên tài khoản Linkedin tương ứng với cộng đồng cracker, chẳng qua là hắn đang tìm sự trợ giúp từ cộng đồng password cracking này.

Mình đã tìm được file dump các password hash tay hacker đã gửi lên diễn đàn Nga đó rồi.
Sự thật là nếu hash của password bạn dùng ở Linkedin xuất hiện trong danh sách của hacker gửi lên đó nghĩa là password của bạn là một trong những password mà tay hacker này không tìm được password tương ứng từ thông tin hash SHA1 và hắn phải tìm sự trợ giúp từ các tay hacker khác trong cộng đồng password cracker này.

Những password dễ crack mà tay hacker này đã crack được từ các tài khoản Linkedin đều không được post lên diễn đàn trên, cho nên nếu password hash của bạn không được tìm thấy trong 2 trang kiểm tra mà bolzano_1989 gửi trên thì không có nghĩa là password của bạn an toàn mà còn có khả năng là password của bạn đã bị crack quá dễ dàng và tay hacker không buồn gửi lên mạng.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [News]   (HVA News) 6,5 triệu mật khẩu LinkedIn đang bị phơi bày trên mạng 07/06/2012 13:11:37 (+0700) | #7 | 264812
[Avatar]
manthang
Journalist

[Minus]    0    [Plus]
Joined: 30/06/2008 16:36:58
Messages: 140
Offline
[Profile] [PM] [WWW]

bolzano_1989 wrote:

manthang wrote:

bolzano_1989 wrote:
Một trang kiểm tra password khác anh chị em có thể dùng là:
http://leakedin.org/

Một kết quả kiểm tra tham khảo:
Looks like your password was not leaked. Hooray!
 
 


Danh sách trên không chứa các hash password bị trùng lắp. LinkedIn có hơn 161 triệu người dùng, nên khả năng đây không phải là trọn bộ CSDL tài khoản của LinkedIn. Nhưng cũng không thể biết được liệu hacker còn giấu phần nào đó của CSDL hash này mà chưa tung lên không. Và cũng không chắc được là hệ thống của LinkedIn còn bị xâm nhập hay không.

Vì vậy việc xác minh qua trang LastPass.com hay leakedin.org nói trên cũng không đảm bảo là tài khoản của mình vẫn an toàn.
Cách tốt nhất là đổi lại mật khẩu LinkdeIn và các tài khoản quan trọng khác dùng chung mật khẩu này. 


Theo tìm hiểu của mình thì không phải là do danh sách trên "không chứa các hash password bị trùng lắp" nên không phủ được tất cả các password hash đâu manthang. Tay hacker này cũng chẳng phải có lòng muốn chia sẻ danh sách hash cùng tên tài khoản Linkedin tương ứng với cộng đồng cracker, chẳng qua là hắn đang tìm sự trợ giúp từ cộng đồng password cracking này.

Mình đã tìm được file dump các password hash tay hacker đã gửi lên diễn đàn hacker Nga đó rồi.
Sự thật là nếu hash của password bạn dùng ở Linkedin xuất hiện trong danh sách của hacker gửi lên đó nghĩa là password của bạn là một trong những password mà tay hacker này không tìm được password tương ứng từ thông tin hash SHA1 và hắn phải tìm sự trợ giúp từ các tay hacker khác trong cộng đồng password cracker này.

Những password dễ crack mà tay hacker này đã crack được từ các tài khoản Linkedin đều không được post lên diễn đàn trên, cho nên nếu password hash của bạn không được tìm thấy trong 2 trang kiểm tra mà bolzano_1989 gửi trên thì không có nghĩa là password của bạn an toàn mà còn có khả năng là password của bạn đã bị crack quá dễ dàng và tay hacker không buồn gửi lên mạng. 


à, ý mình là danh sách được hacker gửi lên chứa gần 6.5 triệu hash khác nhau tương ứng với gần 6.5 triệu tài khoản, trong khi tổng số tài khoản của Linkedin là 161 triệu. Nếu tính ra thì chỉ chưa tới 5% người dùng LinkedIn bị ảnh hưởng.

Nhưng vì như bolzano (và mình) cũng có nói là có thể hacker "không buồn gửi lên mạng" phần còn lại của CSDL tài khoản mà hắn đánh cắp được nên con số thực tế có thể lớn hơn 5%.
Vậy nên mình mới nói là việc kiểm tra ở 2 site trên cũng không đảm bảo là tài khoản của người dùng không bị ảnh hưởng.

Thread mà tay hacker này gửi danh sách lên forum Nga đã bị xóa, những vẫn còn trong cache của Google. Mình cũng đã coi qua nhưng attachment chứa danh sách cũng bị xóa rồi.

Cập nhật thêm là LinkedIn sẽ gửi 2 email tới các tài khoản bị ảnh hưởng để hướng dẫn người dùng thay đổi mật khẩu. Đồng thời họ cũng nâng cấp CSDL mật khẩu bằng cách hỗ trợ thêm salt trong việc tạo hash. Xem: http://blog.linkedin.com/2012/06/06/linkedin-member-passwords-compromised/
keep -security- in -mind-
[Up] [Print Copy]
  [News]   (HVA News) 6,5 triệu mật khẩu LinkedIn đang bị phơi bày trên mạng 07/06/2012 14:33:21 (+0700) | #8 | 264817
[Avatar]
manthang
Journalist

[Minus]    0    [Plus]
Joined: 30/06/2008 16:36:58
Messages: 140
Offline
[Profile] [PM] [WWW]
Mình có nghi vấn là liệu trọn bộ CSDL trên có phải là của LinkedIn không?

Đã có vài người dùng xác nhận mật khẩu LinkedIn của họ có trong CSDL trên (xác nhận điều này bằng cách so sánh hash), và mật khẩu ở LinkedIn của họ là duy nhất (không dùng chung cho các tài khoản khác).
https://twitter.com/thorsheim/status/210333610702675968

Như vậy, rõ ràng là phần nào đó (không dám chắc toàn bộ) CSDL trên chứa các mật khẩu của LinkedIn. Ngoài ra, chính LinkedIn cũng đã xác nhận rằng "We can confirm that some of the passwords that were compromised correspond to LinkedIn accounts."
Tại sao lại nói "some of the passwords" mà không phải tất cả 6.5 triệu hash đều có trong DB của LinkedIn?

Tay hacker này gửi CSDL hash password trên lên forum của Nga để nhờ các cracker ở đó crack giùm. kết quả là có gần 300 ngàn password đã cracked thành công. Một câu hỏi đặt ra là tại sao tay hacker không lấy được username và email? hoặc có khi nào hắn có được username/email nhưng lại giấu đi để hưởng lợi 1 mình?

Tay hacker gửi lên 6.5 triệu hash này nói là DB của LinkedIn. Còn LinkedIn tuy có xác nhận là có hash của nhiều user trong DB đó nhưng lại nói rằng chưa phát hiện thấy dấu hiệu data breach nào xảy ra trên hệ thống của họ:
http://news.cnet.com/8301-1009_3-57448231-83/linkedin-we-see-no-security-breach..-so-far/

Nếu không phải của LinkedIn thì tại sao hacker phải mất công tạo DB lớn như vậy rồi loan báo rằng đó là của LinkedIn?
keep -security- in -mind-
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|