Serwis LinkedIn poinformował na oficjalnym blogu o pojawieniu się na czarnym rynku danych do logowania ponad 100 mln użytkowników. To prawdopodobnie efekt incydentu z 2012 roku, w którym do sieci trafiła mniejsza, bo licząca 6,5 mln haseł transza. Teraz przestępcy próbują upłynnić pozostałą część danych, proponując „promocyjną” stawkę.
Oferta sprzedaży bazy danych użytkowników LinkedIn umieszczona została w jednym z serwisów w sieci Tor. Za 5 bitcoinów można kupić loginy i hasła do 117 mln kont. Prawdopodobnie dane pochodzą z wycieku, który miał miejsce w 2012 r. Wówczas do sieci przedostała się mniejsza partia danych, dotycząca 6,5 mln klientów platformy.
LinkedIn cztery lata temu zareagował na doniesienia o wycieku poufnych danych prosząc użytkowników, którzy znaleźli się na liście o zmianę hasła. Eksperci zajmujący się problemami bezpieczeństwa w sieci ostrzegali wówczas, że nie była to odpowiednia reakcja. Znacznie lepszym wyjściem byłoby wymuszenie resetu haseł dla wszystkich użytkowników. Teraz okazuje się, że mieli rację. We wpisie na oficjalnym blogu LinkedIn Cory Scott, Chief Information Security Officer, poinformował, że firma rozpoczęła akcję wymuszania zmiany haseł dla wszystkich użytkowników, którzy od 2012 r. nie zmienili swoich danych dostępowych.
Hasła klientów platformy dostępne są w formie wymagającej od kupującego nieco wysiłku. Zapisano je w postaci tzw. hashy, czyli po przetworzeniu przez jednokierunkową funkcję skrótu. LinkedIn w momencie wycieku danych w 2012 r. stosował algorytm SHA-1 bez tzw. soli. Oznacza to, że przestępcy mają stosunkowo łatwe zadanie – muszą dopasować kupione hashe do zgadywanego hasła w postaci czystego tekstu. Można to zrobić metodą prób i błędów, testując różne kombinacje znaków albo za pomocą tzw. tablic tęczowych zawierających wyniki funkcji skrótu dla najpopularniejszych ciągów znaków.
Jak donosi serwis „Krebs on Security”, spośród 117 mln haseł pochodzących z wycieku aż 2,2 mln stanowi grupa 50 najprostszych kombinacji. Na pierwszym miejscu znajduje się „123456”, które to hasło wybrało 750 tys. użytkowników. Na kolejnych pozycjach mieszczą się „linkedin” (172 tys.), „password” (144 tys.) i „123456789” (94 tys.).
Użytkownicy LinkedIn, zwłaszcza o dłuższym stażu w serwisie, powinni zmienić hasło. Jeśli stosowaliśmy takie same dane do logowania w innych serwisach, warto zaktualizować dane również na innych kontach, najlepiej stosując unikalne hasło w każdym przypadku. LinkedIn daje także możliwość uruchomienia drugiego stopnia zabezpieczeń w postaci jednorazowych haseł SMS.
