هام: سرقة أكثر من 6.1 مليون كلمة سر من LinkedIn « مغامرات برمجية

هام: سرقة أكثر من 6.1 مليون كلمة سر من LinkedIn

نّشر في: 2012/06/06
تصنيفات: أخبار تقنية
وسوم: ,
تعليقات: 3 تعليق

ظهر ملف نصي في أحد منتديات الهاكنغ الروسية يحتوي على أكثر من 6.1 مليون كلمة سر مشفرة بطريقة SHA-1 Hashing من دون أسماء مستخدمين. القائمة حقيقية. هناك العديد من مستخدمي LinkedIn (بما فيهم أنا) وجدوا كلمات سرهم موجودة في هذه القائمة. يمكنكم الحصول على القائمة من هذا الرابط:

http://www.mediafire.com/?n307hutksjstow3

كيف تبحث عن كلمة سرك في الملف:

  1. حول كلمة سرك إلى Hash باستخدام SHA-1. يمكنك استخدام هذا الموقع. سيصبح لديك فيمة مثل 5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8
  2. افتح القائمة بمحرر نصوص (أنا أستخدم ‎Notepad+‎+‎) لكن لا تبحث عن قيمة الـhash كاملة. احذف الحروف الخمسة الأولى. باستخدام المثال السابق سنبحث عن 1e4c9b93f3f0682250b6cf8331b7ee68fd8

السبب في حذف الحروف الخمسة الأولى هو أن بعض الـhash الموجودة في القائمة تم استبدال الخمسة الأحرف الأولى منها بـ00000. السبب غير معروف ولكن يخمن البعض أن المخترقين علّموا على الـHash التي كسروها. مثلاً الـhash في المثال هو التابع لأكثر كلمات السر شيوعاً في العالم: password. وستجدونها على شكل 000001e4c9b93f3f0682250b6cf8331b7ee68fd8 في القائمة.

كيفية حدوث الاختراق غير معروفة حالياً. التويتر الخاص بـLinkedIn في وقت كتابة هذه المدونة يقول أنهم ما زالوا يبحثون في الموضوع. المدهش في الموضوع هو (على ما يبدو) أن كلمات السر تم تشفيرها كـHash عادية من غير salt. بوجود أشياء مثل الـRainbow Tables، أصبح كسر Hash الـSHA-1 أمراً غير صعب. لهذا أصبحت من أساسيات الأمن المعلوماتي هي إضافة salt لأي hash.

مالذي تفعله إذا وجدت كلمة سرك في القائمة؟

لا تغير كلمة سر LinkedIn. حتى يتم معرفة مصدر الاختراق علينا أن نعتبر أن موقع LinkedIn غير آمن، ولا يمكننا أن نضمن أن كلمة السر المغيرة لن يتم تسريبها هي الأخرى. القائمة لا تحوي أسماء مستخدمين، لكن هذا لا بعني أن المخترقين لم يحصلوا عليها أيضاً. ما قد تحتاج أن تغيره هو كلمات سر المواقع الأخرى. إذا كنت تستخدم كلمة سرك في LinkedIn في مكان آخر (بالذات الإيميل الذي تستخدمه في LinkedIn) فغيره حالاً وسريعاً من باب الاحتياط.

سأبقى أتابع تداعيات هذه القضية…

 

تحديث – 7 يونيو:

آخر الأنباء من التويتر الرسمي لـLinked In هو رابط للمدونة الرسمية. يذكر فيها أن الحسابات الموجود كلمات سرها في القائمة تم إبطال عملها حتى يقوم صاحب الحساب بتجديد كلمة سره. وينصحون أيضاً بقية المستخدمين بتغيير كلمات سرهم.

هراء!

كلمة سري كانت في القائمة وحسابي ما زال يعمل. ولا يوجد أي ذكر عن اكتشاف مصدر تسرب الـHashes. ما زلت على توصيتي السابقة. أبقوا كلمة سر LinkedIn كما هي حتى نتأكد أن الموقع أصبح آمناً مرة أخرى. وإذا كنتم تستخدمون كلمة سر LinkedIn في مواقع أخرى، غيروها هناك.

 

تحديث – 8 يونيو:

في آخر تدوينة رسمية لـLinkedIn صرحوا بأنهم الآن يستخدمون Salted Hash لتشفير كلمات السر. وهذا أفضل بكثير! ما زلت لا أعرف لماذا لم يقوموا بهذا من البداية. الآن فقط يمكنني أن أنصح أن تقوموا يتغيير كلمات سر LinkedIn الخاصة بكم.

Post to Twitter

3 تعليق - أضف تعليق
  1. password123 قال:

    هل قلت password؟ :D ده اسمي..

    ماهو الدليل ان هذه الكلمات السرية فعلا لlinkedin؟

    يعني ممكن يقول مجرد rainbow table تحتوي على هاشات sha1 ماخوذ منها الباسوورد قبل الهاش

    فممكن نطبق نفس قاعدة البيانات ام 6.1 كلمة سرية على مثلا MySpace ونفس الكلام.

    في رأيي هذا فقط rainbow table وطبيعي اي شخص يجد كلمته السرية من بينها

    • System Down قال:

      في أحد تغريدات LinkedIn الرسمية أكدّوا بأنه كلمات السر هذه بالفعل تابعة لمستخدميهم.

  2. اوراكس ايجيبت قال:

    اوراكس ايجيبت لصيانة ودعم وتنفيذ الشبكات نحن دائما الافضل
    اوراكس ايجيبت حلول شبكات الحاسب الالى الشركه تقوم بعمل الدعم الفنى للشبكات وتقوم ايضا بتنفيذها وعمل الصيانه الدوريه المناسبه لها حيث تقوم الشركه بعمل صيانه الشبكات لاجهزة الكمبيوتر وتقوم الشركه ايضابكافه خدمات الانترنت المستخدمه وكافة اعمال الشركه وعمل
    الدعم الفنى لها . كما تقوم الشركه تخطيط الاعمال التى تحتاجها الشركات سواء كانت شركات كبيره او متوسطه او صغيره .
    تستعين الشركه بمصادر خارجيه لتكنولوجيا المعلومات للسيطره على السوق الخاص بالشركه وخلق اسواق جديده وحلول جديده للشركه الخاصه بك وعمل برامج جديده تعمل على نجاح المؤسسه وايضا عمل صيانه دوريه لها .

    شركه اوراكس ايجيبت لأفضل اداء للحاسبات الاليه الخاصه بالشركات
    م / سامح عبود
    Mobil: 0100 22 79 010
    Mobil: 01223366440
    اوركس ايجيبت لـ صيانة الشبكات
    http://www.oraxegypt.com

أضف تعليق

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

*

يمكنك استخدام أكواد HTML والخصائص التالية: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>


مرحباً , تاريخ اليوم هو الخميس, 2017/03/23