الجمعة , 24 مارس 2017

عاجل : قم بتغيير كلمة مرورك حالا في LinkedIn

نقلا عن موقع CNNMony بنيويورك  – فقد قام مجموعة من الهاكرز الروس بنشر قائمة مليونية بكلمات المرور التي تم سرقتها والتي صرح باحثوا أمن المعلومات أنها خاصة بمستخدمي موقع شبكة التواصل الاجتماعي LinkedIn .

وقد أكدت إدارة الموقع على المدونة الخاصة بـلنكد إن اليوم أن بعضا من كلمات المرور هي لحسابات مستخدمين للموقع , ولم تصرح الشركة بأية معلومات عن كيفية سرقة كلمات المرور ومدى الضرر الناتج عن ذلك واكتفت بذكر أنه “جاري فحص المشكلة !!”.

تم نشر الـ 6.5 مليون كلمة مرور على منتدى روسي مشفرة hashed بخوارزمية تدعى SHA-1 والتي تعرف بسهولة كسرها إذا لم يتم أخذ احتياطات إضافية. هذا وقد تم فك الشفرة لحوالي نصف كلمات المرور وتم نشرها على الانترنت بصيغة نصية يمكن قراءتها.

وقد قام العديد من باحثي أمن المعلومات بإرسال تغريدات على موقع تويتر يخبرون أنهم بعد أن قاموا بتشفير كلمات المرور الخاصة بهم وجدوا أنها موجودة في قائمة كلمات المرور المشفرة التي تم نشرها وأكدت شركة أمن الويب سوفوز Sophos أنها قامت بمطابقة العديد من كلمات المرور الخاصة بباحثي أمن المعلومات في الشركة والتي يستخدمونها للولوج على حساباتهم في لنكد إن بشكل حصري.

تم نشر أعداد لانهائية من كلمات المرور ولوحظ أن كثير منها تحوي كلمة “linkedin” ووجد كثير من كلمات المرور الأخرى مثل  

“linkedout” , “recruiter” , “googlerecruiter” , “toprecruiter” , “superrecruiter” , “humanresource” و “hiring” .

ورغم أنه لم يتم اكتشاف أسماء المستخدمين المقترنة بكلمات المرور إلا أنه من المهم جدا أن يقوم كل المستخدمين بتغيير كلمات مرورهم فورا.

وقد علق الخبراء أن شركة لنكد إن تستخدم طريقة قديمة لتشفير وحماية بيانات مستخدميها و يرجع ضعف طريقة الـ SHA-1  أنها تقوم بتشفير hashing  كلمات المرور بنفس الطريقة كل مرة فمثلا إذا كان مستخدم له كلمة مرور “password” ومستخدم آخر له نفس كلمة المرور “password” فإنه يتم تشفير الكلمتين بنفس الطريقة أي أنك إذا علمت الكلمة المشفرة فإنها ستؤدي بك إلى معرفة  كلمة أصلية وحيدة غير مشفرة و أضاف الخبراء كان يجدر بالشركة استخدام ما يسمى بـ “Salt” والذي يقوم تشفير كلمة المرور بطريقة تشفير hashing يتم اختيارها عشوائيا  من مجموعة من طرق التشفير كل مرة.

بعد كل هذا فإن الطريف في الموضوع أنه تم عمل موقع بسرعة رهيبة يساعدك على معرفة إذا كانت كلمة مرورك موجودة ضمن القائمة المليونية لكلمات المرور المسربة ويمكنك الدخول وفحص ذلك بنفسك على الموقع  leakedin.org

ليكد إن

3 تعليقات

اضف رد

لن يتم نشر البريد الإلكتروني . الحقول المطلوبة مشار لها بـ *

*