سایت اجتماعی LinkedIn هک شد

اواخر هفته گذشته، سایت اجتماعی LinkedIn اعلام کرد که این سایت مورد حمله و نفوذ قرار گرفته و نام کاربری و رمز عبور بیش از 5/6 میلیون عضو به سرقت رفته است.

رمزهای عبور سرقت شده بصورت رمزگذاری (hash) شده بوده اند. این رمزها در یک فایل 118 مگابایتی بر روی یک سایت روسی منتشر شده و از بازدید کنندگان این سایت ویژه نفوذگران، درخواست کمک برای استخراج رمزهای hashدار شده است.

در کمتر از دو روز از انتشار این رمزها بر روی سایت، اکنون به نظر می رسد که بیش از 60% آنها رمزگشایی شده اند. سرعت رمزگشایی این تعداد رمز عبور، کاملاً نشان می دهد که سایت LinkedIn از روش ساده ای مانند SHA-1 برای hash کردن رمزها استفاده کرده است و هیچگونه تدبیر امنیتی اضافه ای بکار نبرده است.

روش رمزگذاری SHA-1 یک شیوه امنیتی متوسط است که به هیچ وجه مناسب تشکیلاتی مانند LinkedIn با 5/6 میلیون عضو نمی باشد. با وجود ابزارهای کشف رمز که به آسانی و سرعت رمزهای hash شده را استخراج می کنند و یا با وجود جداول مفصلی که عبارت hash رمزهای رایج و مداول را حاضر و آماده در اختیار نفوذگران می گذارند، تنها استفاده از روش SHA-1 تصمیم غلط و ناشیانه ای بوده که مسئولان LinkedIn گرفته اند.

امروزه در صورت استفاده از روش SHA-1، ترفند دیگری به نام Salting را هم در کنار آن بکار می گیرند. در روش Salting، کاراکترهای شانسی به کلمه رمز اضافه می شود و سپس عمل hash روی آن صورت می گیرد. در این حالت، اگر دو رمز عبور یکسان هم باشند، عبارت hash آنها متفاوت خواهد بود. همچنین پس از استخراج رمز از عبارت hash، رمز به آسانی قابل استفاده نخواهد بود.

مسئولان سایت LinkedIn اعلام کرده اند که این اتفاق را تحت بررسی دارند و هنوز نحوه نفوذ و سرقت اطلاعات مشخص نشده است. همچنین تاکنون هیچ فرد یا گروهی مسئولیت این کار را بر عهده نگرفته است.