6,5 miljoen LinkedIn-wachtwoorden gelekt
Op een Russische hackersite is een bestand met de versleutelde wachtwoorden van 6,5 miljoen LinkedIn-gebruikers geplaatst. Vervolgens werd opgeroepen om de hashes te achterhalen, wat inmiddels 300.000 wachtwoorden heeft opgeleverd, zo meldt de Noorse website Dagensit.no. De oproep om te helpen met het kraken van de hashes wordt bevestigd door beveiligingsonderzoeker Per Thorsheim. Ook op andere websites probeert men de hashes te kraken.
Ook op Twitter zijn inmiddels talloze berichten over het lek verschenen, waaronder een link naar de 118MB grote database. Gebruikers krijgen dan ook het advies hun wachtwoord te wijzigen. Het Finse CERT heeft inmiddels een waarschuwing afgegeven.
Update 14:52
De Duitse beveiligingsexpert Stefan Esser merkt op dat het wijzigen van het wachtwoord niet zoveel zin heeft, zolang het lek waardoor de aanvallers de database wisten te bemachtigen niet wordt verholpen. LinkedIn heeft nog altijd niet gereageerd.
Update 15:08
"Hmmm linkedin database zou nu rondgaan. Simpele md5's van mijn wachtwoorden komen er niet in voor. Misschien gesalt", zo laat Ronald Prins, directeur van Fox-IT, op Twitter weten. Later meldt Prins: "Hmmm, mijn sha1 hash zit inderdaad in de linkedin database. Dus het is toch heel erg echt."
Update 15:14
Gebruikers zijn woedend op LinkedIn omdat het geen aanvullende beveiligingsmaatregelen zou hebben genomen. "Geen salt, geen enumeratie, helemaal niets", aldus Chris McKee.
Update 15:25
Overzicht van geraden hashes online, alsmede mirror van database-hashes.
Update 15:40
Volgens een persbericht van LinkedIn uit februari, heeft de sociale netwerksite 161 miljoen gebruikers. Dat zou betekenen dat de aanvallers de hashes van 4% van de gebruikers hebben bemachtigd. Inmiddels laat LinkedIn via Twitter weten dat het de zaak in onderzoek heeft.
Update 17:42
LinkedIn laat via Twitter weten dat het nog steeds bezig met het onderzoek is, maar nog altijd niet kan bevestigen of er een hack ook daadwerkelijk heeft plaatsgevonden.
Later meer
Reacties (48)
Wijzigen heeft wel zin - als je kiest voor een langer en complexer wachtwoord (en dan vooral langer, zie bekende XKCD comic), dan zal het kraken van de SHA1 hash ervan langer duren...
Wijzigen heeft ook zin omdat het een dump is welke ze hebben dus het zal even duren voordat een nieuwe dump online staat dus in de tussentijd heeft het zeker nut.
06-06-2012, 15:06 door
SirDice
Het is overigens een lijst met alleen (encrypte) wachtwoorden. Het bevat geen gebruikersnamen.
De gebruikersnamen gaan nog niet rond, maar het is natuurlijk mogelijk dat die ook gelekt zijn.
Prins van Fox-IT kan de MD5 hash van zijn wachtwoord niet tussen de SHA1 hashes vinden....zucht.
06-06-2012, 15:22 door
DanielG
"Hmmm linkedin database zou nu rondgaan. Simpele md5's van mijn wachtwoorden komen er niet in voor. Misschien gesalt", zo laat Ronald Prins, directeur van Fox-IT, op Twitter weten.
HAHAHAHA het zijn geen MD5 hashes, maar SHA1. Groot verschil.
06-06-2012, 15:24 door
N4ppy
Dit heeft Ronald Prins te melden!
"hmmm, mijn sha1 hash zit inderdaad in de linkedin database. Dus het is toch heel erg echt."
Zie niets over MD5????
"hmmm, mijn sha1 hash zit inderdaad in de linkedin database. Dus het is toch heel erg echt."
Zie niets over MD5????
06-06-2012, 15:31 door
RichieB
Alle tweets van Mr FoxIT: http://mobile.twitter.com/210343238693945345/about?user_id=cryptoron
Wat een afgang voor LinkedIn zeg. Boycotten die site, nu meteen. Gelukkig heb ik vorig jaar mijn account verwijderd.
Laat er maar een stevige storm van protest komen, dan worden die bedrijven hopelijk eens wakker.
Laat er maar een stevige storm van protest komen, dan worden die bedrijven hopelijk eens wakker.
het zou zo maar kunnen dat er veel meer gegevens zijn buitgemaakt.
ik kreeg namelijk spam op een mail adres binnen dat alleen bij linkedin en mij bekend is.
ik kreeg namelijk spam op een mail adres binnen dat alleen bij linkedin en mij bekend is.
06-06-2012, 15:59 door
SirDice
Dat zou betekenen dat de aanvallers de hashes van 4% van de gebruikers hebben bemachtigd.
Klaarblijkelijk behoor ik tot die 86%, want de mijne staat er niet tussen \(^o^)/
06-06-2012, 16:03 door
martijno
@SirDice je zou ook nog tot die andere 10% kunnen behoren.
06-06-2012, 16:08 door
Acid Burn
Hmm, ik sta er ook niet tussen :D
06-06-2012, 16:09 door
rob
Klaarblijkelijk behoor ik tot die 86%, want de mijne staat er niet tussen \(^o^)/
96%?
96%?
Toch maar even hetzelfde wachtwoord gewijzigd op andere sites ;)
Voor degene die het lastig vind een sterk wachtwoord te verzinnen: http://www.onlinewachtwoordgenerator.nl
Voor degene die het lastig vind een sterk wachtwoord te verzinnen: http://www.onlinewachtwoordgenerator.nl
06-06-2012, 16:23 door
rob
"De Duitse beveiligingsexpert Stefan Esser merkt op dat het wijzigen van het wachtwoord niet zoveel zin heeft, zolang het lek waardoor de aanvallers de database wisten te bemachtigen niet wordt verholpen. LinkedIn heeft nog altijd niet gereageerd. "
Lijkt me nogal belangrijk om dat juist wel te doen als je vreest voor de complexiteit van je wachtwoord. Wijzig je wachtwoord in een 20+ character wachtwoord ofzo.
Lijkt me nogal belangrijk om dat juist wel te doen als je vreest voor de complexiteit van je wachtwoord. Wijzig je wachtwoord in een 20+ character wachtwoord ofzo.
06-06-2012, 16:28 door
SirDice
Door martijno: @SirDice je zou ook nog tot die andere 10% kunnen behoren.
Door rob: Klaarblijkelijk behoor ik tot die 86%, want de mijne staat er niet tussen \(^o^)/
96%?
96%?
Oh, Duh.... Hoofdrekenen kan ik klaarblijkelijk ook niet meer :-/
De vraag is nu of dit rechtstreeks bij LinkedIn vandaan komt of dat er een andere partij bij betrokken is. Voor hetzelfde geld is het een lalafide app geweest die man-in-the-middle heeft gespeeld. Het is opvallend dat ze sha1 zouden gebruiken zonder salt en er is nog steeds niets dat uitsluit dat het op een andere manier dan direct bij LinkedIn verkregen is.
Door rob: "De Duitse beveiligingsexpert Stefan Esser merkt op dat het wijzigen van het wachtwoord niet zoveel zin heeft, zolang het lek waardoor de aanvallers de database wisten te bemachtigen niet wordt verholpen. LinkedIn heeft nog altijd niet gereageerd. "
Lijkt me nogal belangrijk om dat juist wel te doen als je vreest voor de complexiteit van je wachtwoord. Wijzig je wachtwoord in een 20+ character wachtwoord ofzo.
Lijkt me nogal belangrijk om dat juist wel te doen als je vreest voor de complexiteit van je wachtwoord. Wijzig je wachtwoord in een 20+ character wachtwoord ofzo.
1) als ze toegang hebben tot een systeem hebben ze waarschijnlijk ook toegang tot de communicatie om voor voordat je wachtwoord gehashed is is onderschept. Wijzigen is zeker niet onverstandig, maar je mag het niet zien als ultime oplossing zolang niet duidelijk is of en hoe men toegang heeft tot systemen en gegevens.
2) ik zou niet alleen naar linkedin kijken wat je maar beter kan wijzigen, volksstammen die nog steeds hetzelfde wachtwoord bij meerdere dienstverleners gebruiken....Het is zaak dat gebruikers zich bewust zijn wat de gevolgen zijn, niet alleen wat mogelijk een oplossing is of hoop geeft.
06-06-2012, 16:47 door
rob
Door Anoniem: De vraag is nu of dit rechtstreeks bij LinkedIn vandaan komt of dat er een andere partij bij betrokken is. Voor hetzelfde geld is het een lalafide app geweest die man-in-the-middle heeft gespeeld. Het is opvallend dat ze sha1 zouden gebruiken zonder salt en er is nog steeds niets dat uitsluit dat het op een andere manier dan direct bij LinkedIn verkregen is.
Interessante gedachte, maar dat lijkt mij niet zo waarschijnlijk. Dan zou de aanvaller die Man-in-the-Middle heeft was, het wachtwoord opgeslagen hebben in de vorm van een SHA-1 hash. Dat zou ik nogal vreemd vinden. Maar blijft interessant om te speculeren waarom ze in godsnaam geen salt hebben gebruikt.
Door rob: Interessante gedachte, maar dat lijkt mij niet zo waarschijnlijk. Dan zou de aanvaller die Man-in-the-Middle heeft was, het wachtwoord opgeslagen hebben in de vorm van een SHA-1 hash. Dat zou ik nogal vreemd vinden. Maar blijft interessant om te speculeren waarom ze in godsnaam geen salt hebben gebruikt.
Het zal niet de eerste keer zijn dat iemand een bedrijf in een kwaad daglicht wil zetten door selectief informatie te publiceren. Misschien kan iemand hier nog een recent voorbeeld noemen? De journalisten en andere deskundigen namen het maar wat graag aan als waarheid/keken niet verder dan hun neus lang was en begonnen te wijzen.
06-06-2012, 17:15 door
[Account Verwijderd]
[Verwijderd]
06-06-2012, 17:39 door
yobi
Of het wachtwoord wijzigen zin heeft is de vraag. Wel heeft iedereen bij aanmelden een e-mailadres in moeten vullen. Indien deze hetzelfde wachtwoord heeft, dan zou ik die van de e-mail wijzigen.
Wachtwoord van Linkedin wijzigen heeft volgens mij pas zin als het lek is opgelost.
Wachtwoord van Linkedin wijzigen heeft volgens mij pas zin als het lek is opgelost.
06-06-2012, 18:04 door
jefdom
Door Anoniem: De vraag is nu of dit rechtstreeks bij LinkedIn vandaan komt of dat er een andere partij bij betrokken is. Voor hetzelfde geld is het een lalafide app geweest die man-in-the-middle heeft gespeeld. Het is opvallend dat ze sha1 zouden gebruiken zonder salt en er is nog steeds niets dat uitsluit dat het op een andere manier dan direct bij LinkedIn verkregen is.
LALAFIDE app,nieuw zeker?????
06-06-2012, 18:27 door
[Account Verwijderd]
[Verwijderd]
http://www.mediafire.com/?n307hutksjstow3
Waarom zijn er zo vaak 5 nullen aan het begin van de regel? Waarom is er zo vaak overlap als je de eerste 5 weglaat?
Waarom zijn er zo vaak 5 nullen aan het begin van de regel? Waarom is er zo vaak overlap als je de eerste 5 weglaat?
@17:15 Bergen
Goed punt, dat automatisch ...
Maar eenvoudig op te lossen door er ff
Goed punt, dat automatisch ...
Maar eenvoudig op te lossen door er ff
[/quote][/url] omheen te zetten.
Hoe weten we nu of dit inderdaad linkedln wachtwoorden zijn ? of überhaupt wachtwoorden ?
Wie zet er nu belangrijke informatie op social media sites ? Als ze mijn pw weten , veel plezier ermee !
(ondertussen weet je toch mijn id niet ;-) )
(ondertussen weet je toch mijn id niet ;-) )
LinkedIn heeft nu een blogpost neergezet met informatie over het wijzigen van een wachtwoord. Geen woord over passphrases, jammer genoeg.
http://blog.linkedin.com/2012/06/06/updating-your-password-on-linkedin-and-other-account-security-best-practices/
http://blog.linkedin.com/2012/06/06/updating-your-password-on-linkedin-and-other-account-security-best-practices/
Ik voorspel dat dit een hoax zal blijken te zijn.
Straks rode oortjes iedereen die klakkeloos deze onzin gelooft.
Straks rode oortjes iedereen die klakkeloos deze onzin gelooft.
Door Anoniem: De vraag is nu of dit rechtstreeks bij LinkedIn vandaan komt of dat er een andere partij bij betrokken is. Voor hetzelfde geld is het een lalafide app geweest die man-in-the-middle heeft gespeeld. Het is opvallend dat ze sha1 zouden gebruiken zonder salt en er is nog steeds niets dat uitsluit dat het op een andere manier dan direct bij LinkedIn verkregen is.
Ik heb 'n LinkedIn account, wat ik een half jaar geleden aangemaakt heb, en verder nooit gebruik. Ik heb een gegenereerd wachtwoord, 14 tekens, hoofd- en kleine letters, cijfers en wat rare tekens erin, welke ik niet op andere sites gebruik... De SHA1 hash van dit wachtwoord komt voor in de lijst, wat mij zegt:* De lijst is authentiek
* Er is geen gebruik gemaakt van phishing of malafide apps of man-in-the-middle attacks.
LinkedIN is dus lek, en zolang dat lek niet gedicht is heeft het wijzigen van je wachtwoord alleen zin als je het nogmaals wijzigd NAdat 't lek gedicht is.
Wat levert LinkedIn me eigenlijk op? Denk dat ik mijn account maar de nek omdraai...
06-06-2012, 21:26 door
Mozes.Kriebel
Door rookie: Valt het jullie trouwens ook op dat zowat iedereen zijn CV op LinkedIn radicaal heeft opgepimpt? Zelfs de grootste r*kker op LinkedIn heeft nog een CV waar je "U" tegen zegt met een x aantal recommendations (lol!), zo'n site kon je dus toch allang niet meer serieus nemen?
That's why you're a rookie... ;)
06-06-2012, 22:31 door
Fwiffo
Door SirDice:
Enge gedachte: Misschien hebben ze alleen de hashes gepubliceerd die ze zelf niet konden kraken? Verder zou ik deze hackers niet op hun blauwe ogen geloven dat de wachtwoorden allemaal (alleen) van LinkedIn komen. Dat is precies wat ze willen dat je denkt namelijk.Dat zou betekenen dat de aanvallers de hashes van 4% van de gebruikers hebben bemachtigd.
Klaarblijkelijk behoor ik tot die 86%, want de mijne staat er niet tussen \(^o^)/Mijn SHA1 zit er anders mooi wel tussen en dat is een generator PW..
Enige plek waar ik dat wachtwoord gebruik, dus of we hebben een collision of het is echt.
Enige plek waar ik dat wachtwoord gebruik, dus of we hebben een collision of het is echt.
Moet er niet een verplichte security audit komen als "apps" (LinkedIn, Facebook, Twitter ed) eenmaal een bepaalde omvang gaan krijgen? Mensen gaan er nu maar vanuit dat hun (prive) gegegvens allemaal veilig opgeslagen zijn, maar telkens blijkt weer dat dit niet zo is.
En ja, als je als "internetter" je wachtwoord op meerdere plaatsen gebruikt, dan vraag je wel om moeilijkheden. Dat moet nu toch wel duidelijk zijn. Er zijn genoeg alternatieven om goede, gegenereerde wachtwoorden te gebruiken. Doe dat dan ook.
En ja, als je als "internetter" je wachtwoord op meerdere plaatsen gebruikt, dan vraag je wel om moeilijkheden. Dat moet nu toch wel duidelijk zijn. Er zijn genoeg alternatieven om goede, gegenereerde wachtwoorden te gebruiken. Doe dat dan ook.
07-06-2012, 10:31 door
SirDice
Door Fwiffo:
Mogelijk, ik ga er ook gewoon vanuit dat ze mijn wachtwoord wel hebben maar niet gepubliceerd is. Verder niet zo'n ramp, ik gebruik overal unieke wachtwoorden.Door SirDice:
Enge gedachte: Misschien hebben ze alleen de hashes gepubliceerd die ze zelf niet konden kraken?Dat zou betekenen dat de aanvallers de hashes van 4% van de gebruikers hebben bemachtigd.
Klaarblijkelijk behoor ik tot die 86%, want de mijne staat er niet tussen \(^o^)/
07-06-2012, 10:32 door
Riviera
Ik denk dat het ook echt is, de hash van mijn wachtwoord zit er ook tussen :(
Mijn wachtwoord telt 13 tekens, een mix van hoofdletters, kleine letters, getallen en een speciaal teken....
Is dat veilig genoeg, of zal dat ook binnen afzienbare tijd gekraakt worden?
Volgens bijvoorbeeld: http://howsecureismypassword.net/ zou 1 computer er ongeveer 400 miljoen jaar over doen om dat te kraken...
Mijn wachtwoord telt 13 tekens, een mix van hoofdletters, kleine letters, getallen en een speciaal teken....
Is dat veilig genoeg, of zal dat ook binnen afzienbare tijd gekraakt worden?
Volgens bijvoorbeeld: http://howsecureismypassword.net/ zou 1 computer er ongeveer 400 miljoen jaar over doen om dat te kraken...
07-06-2012, 14:07 door
busyr
Die 400 miljoen jaar gaat uiteraard alleen op als er geen andere patronen in te ontdekken zijn, want als bv die 13 tekens opgebouwd zijn door in 'n "standaard" woord wat tekens te vervangen door l33tsp3ak en er een volgnummer (jaartal/datum/whatever) achter te plakken, ben je binnen 'n paar uurtjes gekraakt...
En uiteraard hoeft dat basis-woord niet in de Dikke van Dale te staan, er zijn meer woordenlijsten te vinden waar ook de wat creatievere "woorden" tussen zitten...
En uiteraard hoeft dat basis-woord niet in de Dikke van Dale te staan, er zijn meer woordenlijsten te vinden waar ook de wat creatievere "woorden" tussen zitten...
08-06-2012, 11:07 door
SirDice
Door Riviera: Volgens bijvoorbeeld: http://howsecureismypassword.net/ zou 1 computer er ongeveer 400 miljoen jaar over doen om dat te kraken...
Volgens mij gaat dat uit van een "klassieke" brute-force. M.a.w. de berekening wordt gedaan op basis van een X aantal tests per seconden waarbij elke test afzonderlijk wordt gedaan.Met behulp van rainbow tables echter kan het aanzienlijk verkort worden. Er hoeven immers geen hashes meer berekend te worden en wordt het een kwestie van de juiste waarde in de tabel vinden.
http://en.wikipedia.org/wiki/Rainbow_table
Ik heb maar 1 woord:
SlechthoorLinkedIndatjulliedithebbenkunnenlatengebeuren!
SlechthoorLinkedIndatjulliedithebbenkunnenlatengebeuren!
06-10-2012, 17:02 door
eMGee
Dit is nog van die eerste keer, een paar maanden terug (het artikel lijkt van juni te zijn, maar de precieze datum staat me niet meer bij), of is dit alweer van één of meerdere nieuwe inbraken? Erg vervelend wel, ik overweeg bijna mijn account daar op te zeggen. Ik had destijds wel mijn wachtwoord veranderd en in een hele lange ook, maar het zit me absoluut niet lekker.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
