黑客在暗网出售1.17亿份LinkedIn用户密码

黑客Peace_of_mind(Peace)在暗网市场TheRealDeal上出售之前被攻陷的LinkedIn数据，售价为5比特币（约2200美元）。

2012年，LinkedIn遭受大规模数据泄露事件，黑客攻陷其服务器并且窃取了一些用户记录。随后，黑客将其中的650万份记录公布在网上，同时还附带密码哈希值。

Peace声称自己泄露的数据也是源于这次攻击。他声称拥有167,370,940个账户，不过只有1.17亿份账户附带密码哈希值。LinkedIn在最近一次公布用户数目时表示，由4.43亿注册用户。两家专门收集网络泄露数据的公司LeakedSource和Have I Been Pwned?对数据进行了分析。

Have I Been Pwned? 的创始人在推特上表示，对所声称的1.67亿份LinkedIn数据记录进行分析后发现，“很有可能”是合法数据。随后他表示数据确实来自2012年的数据泄露事件，并告警称密码是通过SHA1加密的，也就是说弱密码可被破解。

SHA1是一种强大的加密算法，但是现代计算能力的发展允许攻击者破解SHA1密码字符串，犯罪分子无法立即破解这些字符串，但是随着事件的增加，所有密码哈希都会被破解。密码越简单，被破解的速度就越快。

LeakedSource表示，已经访问并将全部的1.67亿份账户信息录入服务，供用户以安全的方式搜索并查看自己是否也遭受影响。

2012年，尽管有650万份用户详情被泄露，但LinkedIn从未证实受影响的用户数量，而只是保持沉默，用户也随后忘记所发生的事情。

如果LinkedIn当初能够分享数据泄露事件所带来的真实影响，那么用户本可以采取必要措施来确保自己账户的安全，并避免为其它账户设置同一密码。