LinkedIn izgubil 6,5 milijona gesel

Enkrat ta ponedeljek naj bi še neimenovana ruska hekerska skupina objavila paket 6.5 milijona gesel za poslovni portal LinkedIn (5 odstotkov od skupaj 150 milijonov uporabnikov). Napadalci so zaprosili za pomoč pri lomljenju gesel (cca. 300.000 naj bi jih že imeli).

Gesla so sicer kriptografsko zgoščena s SHA-1 algoritmom, vendar brez uporabe salta, tako da je zoper njih možen neposredni napad s preizkušanjem najbolj pogostih kombinacij. Varnostni raziskovalci so uporabnike že pozvali, naj takoj zamenjajo svoja gesla, isto pa seveda velja še za morebitne druge uporabniške račune z istim geslom (e-pošta, Facebook, idr.).

LinkedIn za zdaj pravi le, da zadevo raziskujejo. Njihovi PR-ovci so že tako pod stresom, ker so raziskovalci le malo pred tem razkrili, da njihova iOS aplikacija ob vklopu sinhronizacije koledarjev na svoje strežnike sporoča vse podrobnosti sestankov za naslednjih pet dni, vključno s seznamom udeležencev in morebitnimi zapiski, za nameček pa še v surovi obliki brez rabe kakršnegakoli šifriranja. Ker gre za skrajno občutljive poslovne podatke, se mediji z izgovorom, da "je funkcija zgolj opcijska (opt-in)", seveda niso zadovoljili.

Podjetje sicer posluje razmeroma dobro, vendar jih čaka kar nekaj dela s prenovo pomanjkljive varnosti v svojem informacijskem sistemu.