» »

LinkedIn izgubil 6,5 milijona gesel

LinkedIn izgubil 6,5 milijona gesel

TheNextWeb - Enkrat ta ponedeljek naj bi še neimenovana ruska hekerska skupina objavila paket 6.5 milijona gesel za poslovni portal LinkedIn (5 odstotkov od skupaj 150 milijonov uporabnikov). Napadalci so zaprosili za pomoč pri lomljenju gesel (cca. 300.000 naj bi jih že imeli).

Gesla so sicer kriptografsko zgoščena s SHA-1 algoritmom, vendar brez uporabe salta, tako da je zoper njih možen neposredni napad s preizkušanjem najbolj pogostih kombinacij. Varnostni raziskovalci so uporabnike že pozvali, naj takoj zamenjajo svoja gesla, isto pa seveda velja še za morebitne druge uporabniške račune z istim geslom (e-pošta, Facebook, idr.).

LinkedIn za zdaj pravi le, da zadevo raziskujejo. Njihovi PR-ovci so že tako pod stresom, ker so raziskovalci le malo pred tem razkrili, da njihova iOS aplikacija ob vklopu sinhronizacije koledarjev na svoje strežnike sporoča vse podrobnosti sestankov za naslednjih pet dni, vključno s seznamom udeležencev in morebitnimi zapiski, za nameček pa še v surovi obliki brez rabe kakršnegakoli šifriranja. Ker gre za skrajno občutljive poslovne podatke, se mediji z izgovorom, da "je funkcija zgolj opcijska (opt-in)", seveda niso zadovoljili.

Podjetje sicer posluje razmeroma dobro, vendar jih čaka kar nekaj dela s prenovo pomanjkljive varnosti v svojem informacijskem sistemu.

38 komentarjev

barakus ::

Jao, a se da preverit, če je moje geslo vmes?

Roadkill ::

DLjaš txt file, preračunaš sha1 hash svojega gesla in pogledaš če se nahaja v TXT datoteki.
Mojega ni notri.
Ü

Jux ::

Kje pa dobiš txt file. To me pa res zanima, če je moje geslo secure.
web&blog&etc: http://lukabirsa.com

Roadkill ::

Link do seznama passwordov: http://www.mediafire.com/?bmuo1y3puku4r...
Samo hashi ki se začnejo z "00000" so bili crackani do sedaj.

Torej moraš izračunat sha1 za svoj password, preiskat file, potem pa pri izračunanem hashu še zamenjati prvih pet znakov z "0", da vidiš če so te že cracknili.

Mojega (zelo šibkega) gesla ni v seznamu.
Ü

Gregor P ::

Meni se sploh ne da preverjat, če sem med "srečneži", geslo je že zamenjano!:|

P.S.: hvala za povezavo Roadkill :)
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).

Zgodovina sprememb…

  • spremenil: Gregor P ()

retsom ::

Roadkill ::

Popravek novice: V fajlu, ki sem ga prilepil zgoraj je crackanih 3,5mio gesel. Torej več kot polovica.
Ü

gendale ::

najbolš je met za geslo za vsako stran sha1(geslo naslovstrani)

pol naj pa bruteforacjo to

in če jim rata so dobili hash od gesla in naslovastrani, ki ga morajo spet bruteforcat

good luck with that
seznam zanč moderatorjev in razlogov da so zanč
http://pastebin.com/QiWny5dV
gor je mavrik apple uporabniček (mali možgani in mali penis)

Phantomeye ::

Good luck cracking my password :p

Griffith ::

Ma jest sem zdele kar zaprl svoj račun. Itak ne štekam tega LInked ina kaj to sploh je in v čem je fora.

Gregor P ::

To je mišljeno predvsem za tvoje poslovne povezave (tvoji sedanji, nekdanji sodelavci, delodajalci, delojemalci, akademski kolegi itd.).
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).

BlueRunner ::

Phantomeye je izjavil:

Good luck cracking my password :p

Jaz sem preprosto privzel, da enkrat pa bo "izracunano" tudi moje geslo. Nakljucnost, dolzina in locila gor ali pa dol, cas je za menjavo. Vse kar mi je to kupilo je samo nekaj casa, da se je vse skupaj razvedelo se preden so mojega dobili, pa ceprav je hash notri.

Zgodovina sprememb…

MrStein ::

retsom je izjavil:

LinkedIn potrdil zlorabo: http://blog.linkedin.com/2012/06/06/lin...

"We take the security of our members very seriously."

No ja, zdaj že. Prej očitno niso.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Tear_DR0P ::

jaz pa sem uspel ugotoviti, da sem mel geslo spet nastavljeno na neko vmesno (moje) default geslo, ker sem vmes neke resete delal. To geslo seveda uporabljam na vseh nepomembnih storitvah, ni pa v bazi crackanih. Sedaj sem ga spremenil.
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain

Jst ::

Eni pretiravajo z gesli, jaz pa imam svoj čisto enostaven kot pasuolj sistem generiranja gesel, a v končni obliki je vedno zmazek. In ker sem dev uporabljam ANG tipkovnico in samo ANG tipkolnico. :)

Na slovenski se ne bi prijavil nikamor. :))
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

pegasus ::

Gregor P je izjavil:

To je mišljeno predvsem za tvoje poslovne povezave (tvoji sedanji, nekdanji sodelavci, delodajalci, delojemalci, akademski kolegi itd.).

Skratka nekaj, čemur se na daleč izogibaš in ti niti na kraj pameti ne pade, da bi si gor naredil account in puščal svoje osebne podatke ;((
Če osebnih poznanstev ne znaš vzdrževati na oseben način, pol je bolje, če jih nimaš.

BigWhale ::

pegasus je izjavil:

Če osebnih poznanstev ne znaš vzdrževati na oseben način, pol je bolje, če jih nimaš.


Ce jih jaz ne bi imel v Linked Inu, me Google ne bi poklical in delal interview-a z mano.

Dokler ves kaj in kam dajes, ni s tem nic narobe.

krho ::

Ah manjka pa novička, da leaked in na svoje strežnike iz iphone in android applikacije posreduje na njihove strežnike kompleten koledar z vso vsebino! (Če si vklopil, vpisovanje v koledariz njihove aplikacije)
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net

driver_x ::

BigWhale je izjavil:

pegasus je izjavil:

Če osebnih poznanstev ne znaš vzdrževati na oseben način, pol je bolje, če jih nimaš.


Ce jih jaz ne bi imel v Linked Inu, me Google ne bi poklical in delal interview-a z mano.



In sedaj delaš pri Googlu ali kaj?

Račun pri LinkedInu sem imel nekaj let, nato pa sem dobil občutek, da je isto sranje, kakor Facebook. Saj so tudi za FB v začetku trdili, da gre za nevemkakšno poslovno priložnost in podobno. Čim manj podatkov imaš na teh omrežjih, tem bolje.

Invictus ::

driver_x je izjavil:

BigWhale je izjavil:

pegasus je izjavil:

Če osebnih poznanstev ne znaš vzdrževati na oseben način, pol je bolje, če jih nimaš.


Ce jih jaz ne bi imel v Linked Inu, me Google ne bi poklical in delal interview-a z mano.



In sedaj delaš pri Googlu ali kaj?

Račun pri LinkedInu sem imel nekaj let, nato pa sem dobil občutek, da je isto sranje, kakor Facebook. Saj so tudi za FB v začetku trdili, da gre za nevemkakšno poslovno priložnost in podobno. Čim manj podatkov imaš na teh omrežjih, tem bolje.

Zadnje 2 leti dobivam ponudbe za službo samo na LinkedInu. Plača je pa 3-5x tolikšna kot če bi delal v Sloveniji.

No, zdaj me tudi že direktno kontaktirajo.

Kar se tiče kontaktov, sam imam notri ljudi, ki jih v živo še nisem videl, delam pa z njimi.

Vsak si pač išče svojo priložnost. Če si ne znaš gor poiskati svoje priložnosti, to še ne pomeni da je storitev zanič. Je pa res da slovenska podjetja tega sploh ne uporabljajo. V tujini imajo posebej zaposlene ki skrbijo samo za LinkedIn profil podjetja in zaposlenih.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Zgodovina sprememb…

  • spremenil: Invictus ()

denial ::

Check: LeakedIn
SELECT finger FROM hand WHERE id=3;

brbr21 ::

denial je izjavil:

Check: LeakedIn


ce ti ga niso do sedaj dobil in skrekal, jim ga bos pa preko tega linka senkal. :)

BigWhale ::

driver_x je izjavil:


In sedaj delaš pri Googlu ali kaj?


:) Ne, zaradi dolocenih zadev nismo prisli skupaj, lahko pa bi. Ampak ne gre za to. Gre za to, da je LinkedIn precej bolj resno socialno omrezje kjer ne dobivas povabil za FarmVille ampak dobivas povabila na razgovore za sluzbo.

Nisem ne prvi ne zadnji, ki ga je kak delodajalec nasel preko LinkedIn-a. Ce si nekdo zeli v tujino je to vsekakor bolj primerna zadeva kot Salomonov Oglasnik. No ja, edino morda, ce je mlado dekle atraktivnega videza, potem se ze v oglasniku kaj najde...

denial ::

ce ti ga niso do sedaj dobil in skrekal, jim ga bos pa preko tega linka senkal. :)

Yep, I don't want to miss all the fun in security circus.
SELECT finger FROM hand WHERE id=3;

JesusChrist ::

brbr21 je izjavil:

denial je izjavil:

Check: LeakedIn


ce ti ga niso do sedaj dobil in skrekal, jim ga bos pa preko tega linka senkal. :)


jaz sem jim ga šenkal. naj ga majo če še ga niso meli ;)
remember, the clock is ticking. run like no tomorrow.

dux ::

Pa še za kreditno kartico preveri, če je ukradena - http://ismycreditcardstolen.com/ :D
Upanje je v nasih odlocitvah

MisterR ::

MrStein je izjavil:

retsom je izjavil:

LinkedIn potrdil zlorabo: http://blog.linkedin.com/2012/06/06/lin...

"We take the security of our members very seriously."

No ja, zdaj že. Prej očitno niso.



Jebeš linkedin, pri abanki (abanet) za geslo ne moreš uporabit nič druga kot a-z A-Z in 0-9 in max 16 znakov.

Roadkill ::

Sem za test zagnal John the Ripperja nad fajlom. Gesla letijo ven kot za šalo.
Dictionariji bodo spet zrasli za par miljonov.
Ü

BlueRunner ::

pegasus je izjavil:

Gregor P je izjavil:

To je mišljeno predvsem za tvoje poslovne povezave (tvoji sedanji, nekdanji sodelavci, delodajalci, delojemalci, akademski kolegi itd.).

Skratka nekaj, čemur se na daleč izogibaš in ti niti na kraj pameti ne pade, da bi si gor naredil account in puščal svoje osebne podatke ;((
Če osebnih poznanstev ne znaš vzdrževati na oseben način, pol je bolje, če jih nimaš.

Glede na to, da ima LinkedIn vlogo interaktivnega CV...

Tore, ce cloveka osebno ne poznam, se mu ne bom reklamiral kot primeren kandidat za delovno mesto, ki ga ima odprtega. Yay! Zmaga.

pegasus ::

BlueRunner je izjavil:

Glede na to, da ima LinkedIn vlogo interaktivnega CV...
Tore, ce cloveka osebno ne poznam, se mu ne bom reklamiral kot primeren kandidat za delovno mesto, ki ga ima odprtega. Yay! Zmaga.

V tem primeru je interaktivnost vprašljive vrednosti. Mene je google klical, še preden je folk vedel kaj je to linkedin in fejsbuk in še vedno freak outam če začnem razmišljat, kako so prišli do mene. Pa še povedati mi niso hotli ...

PARTyZAN ::

Random unique password na vseh spletnih straneh. No harm done. Sem ga spremenil preventivno, gledat se mi pa ne da, če je na tisti listi.

BlueRunner ::

pegasus je izjavil:

BlueRunner je izjavil:

Glede na to, da ima LinkedIn vlogo interaktivnega CV...
Tore, ce cloveka osebno ne poznam, se mu ne bom reklamiral kot primeren kandidat za delovno mesto, ki ga ima odprtega. Yay! Zmaga.

V tem primeru je interaktivnost vprašljive vrednosti. Mene je google klical, še preden je folk vedel kaj je to linkedin in fejsbuk in še vedno freak outam če začnem razmišljat, kako so prišli do mene. Pa še povedati mi niso hotli ...

Odvisno kako gledas na vse skupaj. LinkedIn je se dodaten kanal kjer se lahko reklamiras, pri cemer ti ni potrebno vnaprej ugibati koga bo tvoj skillset zanimal. Nihce pa te ne bo silil v to. Realno pa bos imel manjsi "doseg", ce ga ne bos izkoristil.

Sem dobival vabila prej in jih dobivam tudi sedaj. Dobim pa sedaj tudi kaksnega preko tega servisa, ki ga po drugi poti najverjetneje ne bi. So pa vsa taksna vabila "tujina". Kar mi da misliti, da v Sloveniji bodisi obstaja alternativna storitev, ki je ne poznam, bodisi kolekitvno vecina ljudi ne vidi potrebe v taksnem servisu.

Glede na debate v temi "Place v IT industriji" me res zanima zakaj ni ta servis bolj izkoriscen vsaj med informatiki. Najdes gor kaksnega kljukca, ki ga poznas, zraven pa pise "zaposlen tam in tam od 1849 naprej" in skoraj nic ekstra.

Gregor P ::

Pa tudi sicer je veliko lažje tako posredovati nekomu svoj eCV, kot pa da gleda neke tvoje dokumente, ki si mu jih poslal preko e-pošte ipd. Saj konec koncev imaš lahko tudi svojo spletno stran itd. ampak na LinkedIn-u lahko tudi (nekako v standardizirani obliki, ker je pač že vajen teh profilov tam) vidi kje, s kom in pri čemu si že sodeloval in na splošno dobi boljšo sliko o tebi; morda celo pozna tvoje nekdanje, sedanje sodelavce, kolege ... pač priročno spletno poslovno orodje.

Vsekakor je pa res, da smo našli in lahko še vedno najdemo projekte, dela, sodelavce tudi brez tega orodja.
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).

Zgodovina sprememb…

  • spremenil: Gregor P ()

economist ::

Kot kaže se nihče ni obregnil (tudi tuji mediji) na laganje LinkedIna dolgo po tem, ko so bili 100% da so jim ušla gesla:

Our security team continues to investigate this morning's reports of stolen passwords. At this time, we're still unable to confirm that any security breach has occurred.


Kdor ima dostop do baze in seznama gesel potrebuje cca. 1 minuto da ugotovi, če gre za resnična gesla.

driver_x ::

Da mi ne bo še žal, da sem ukinil profil ...

Me pa zanima, če je kdo dejansko dobil službo preko LinkedIn-a?

Invictus ::

Pa kaj ne bereš postov tukaj?

Sam sem dobil zadnjih 5 strank preko Linkedina. Tudi trenutno službo (oz. obe) sem dobil na njem.

Zdaj imam že nekaj osebnih stikov, ki jih vzdržujem, ampak Linkedin je še vedno pomemben. Imam pa precej specifičen profil, tako da obilja služb ravno ni.

Slovencem Linkein ni všeč, ker zagotavlja neko transparentnost. Odprte karte in kozarec čistega vina ni ravno slovenska lastnost. Poleg tega amaterji hitro izstopijo. Seveda je pa odvisno s katerim delom sveta posluješ. Vsak ima svoje fore.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Roadkill ::

Huh pestri dnevi...

Še dva leaka:
- dating stran eHarmony: 1,5mio unique hashev
- last.fm: 17.3mio unique hashov

Oboje brez "soljenja", oboje brez pripadajočih usernamov.
Ü

Jst ::

>Slovencem Linkein ni všeč, ker zagotavlja neko transparentnost.

Ne, mi imamo rajši Zavoz za Zaposlovanje in nadaljnjo jokanje državi za socialne prispevke :)
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Microsoftu bržkone tudi evropska zelena luč za prevzem LinkedIna

Oddelek: Novice / Nakupi / združitve / propadi
268428 (7059) FTad
»

LinkedInu leta 2012 ukradli 100 milijonov gesel, ne le 6

Oddelek: Novice / Kriptovalute
2810385 (8514) [D]emon
»

Facebook pripravlja službeno verzijo

Oddelek: Novice / Omrežja / internet
127953 (4853) Glugy
»

LinkedIn izgubil 6,5 milijona gesel

Oddelek: Novice / Varnost
3819562 (17134) Jst

Več podobnih tem