image

LinkedIn bevestigt diefstal wachtwoorden

woensdag 6 juni 2012, 23:24 door Redactie, 19 reacties

LinkedIn heeft bevestigd dat aanvallers erin geslaagd zijn om de wachtwoorden van een onbekend aantal gebruikers te stelen. Vanmiddag werd bekend dat op een Russische website een bestand was geplaatst met daarin de wachtwoord-hashes van 6,5 miljoen gebruikers van de sociale netwerksite, die in totaal 161 miljoen leden heeft. Van 300.000 accounts waren inmiddels de wachtwoorden via de hashes achterhaald.

"We kunnen bevestigen dat sommige van de wachtwoorden die gecompromitteerd zijn toebehoren aan LinkedIn accounts", aldus Vicente Silveira op het LinkedIn blog. Het onderzoek naar de inbraak is nog niet afgerond. Toch zijn van alle getroffen gebruikers de wachtwoorden gereset en zijn die per e-mail ingelicht met instructies hoe ze een nieuw wachtwoord aan kunnen maken.

Daarnaast krijgen deze getroffen gebruikers ook een tweede e-mail van het Customer Support team met aanvullende informatie waarom men het wachtwoord moet wijzigen.

Salt
LinkedIn wekte de woede van talloze gebruikers omdat het geen salting van gehashte wachtwoorden toepaste. Salting maakt het lastiger voor aanvallers om het bij de hash horend wachtwoord te achterhalen. "We bieden onze excuses voor het ongemak aan. We nemen de veiligheid van onze leden zeer serieus", aldus Silveira.

Eerder op de dag gaf LinkedIn gebruikers, vanwege het toen nog onbevestigde lek, wachtwoord-advies. Ook LinkedIn lijkt onbekend met het concept van passphrases te zijn, aangezien het adviseert om een zin te verzinnen en vervolgens van elk woord de eerste letter te nemen.

Experts adviseren juist passphrases, 'wachtzinnen' die uit meerdere woorden bestaan, omdat ze eenvoudiger te onthouden zijn en vaak zonder veel moeite boven de 20 karakters kunnen uitkomen, waardoor de hash veel lastiger te kraken is dan van een kort maar complex wachtwoord.

Reacties (19)
06-06-2012, 23:45 door Wim ten Brink
Heb wachtwoord ondertussen al veranderd na de eerste geruchten. Het betreft overigens een verouderde database, maar toch erg irritant. Iedereen met een LinkedIn account doet er verstandig aan om een nieuw wachtwoord te kiezen. (Nee, niet 123456 zoals al veel sufferds doen...)
07-06-2012, 01:05 door burne101
Door WorkshopAlex:
(Nee, niet 123456 zoals al veel sufferds doen...)
654321 raden ze nooit.

(moet ik nog naar xkcd linken of weten jullie het inmiddels wel? http://xkcd.com/936/)
07-06-2012, 01:06 door Anoniem
http://leakedin.org/ ff checken of die van jou erbij staat :-)
07-06-2012, 01:07 door Anoniem
http://leakedin.org/
07-06-2012, 01:09 door [Account Verwijderd]
[Verwijderd]
07-06-2012, 09:29 door Anoniem
Door Hugo:
We nemen de veiligheid van onze leden zeer serieus
Mooie PR praat, maar iedereen weet ondertussen dat dat gelul is!!
Mijn idee. Als je niet salt, ben je geen knip voor de neus waard. Het is niet bepaald een enorme investering, dat ene regeltje code extra, en het levert enorm veel op. Wat een prutsers.
07-06-2012, 10:21 door Anoniem
"Mooie PR praat, maar iedereen weet ondertussen dat dat gelul is!!"

Achja, iedereen kan gehacked worden. Als je dat als ''bewijs'' wilt zien dat een bedrijf de veiligheid van leden niet serieus neemt, zonder enige kennis van zaken over de achtergrond van de vermeende hack, dan is dat nogal kort door de bocht.
07-06-2012, 10:34 door Anoniem
@Anoniem 01:06 en 01:07

Wat een bagger site :'). Wachtwoorden zoals:

123456
test
linkedin
password

Zijn allemaal niet gecracked volgens dat ding? :')
07-06-2012, 11:15 door Anoniem
http://nl.linkedin.com/
Meer dan 150 miljoen professionals gebruiken LinkedIn om informatie en ideeën uit te wisselen
Het besef dat je een salt moet gebruiken was kennelijk nog niet tot de professionals van LinkedIn doorgedrongen. Hoe goed werkt dat uitwisselen van informatie en ideeën daar eigenlijk? Goede reclame voor de effectiviteit van LinkedIn, dit.
07-06-2012, 11:21 door Anoniem
Ho, van alle getroffen gebruikers de wachtwoorden gereset?

Zijn ze bij LinkedIn zot geworden? Ze hebben aangegeven dat ze tot nu toe alleen in staat zijn om te bevestigen dat de wachtwoorden en hashes inderdaad overeenkomen met wat LinkedIn gebruikt. Tenzij ze helderziend zijn is het behoorlijk arrogant om er vanuit te gaan dat alleen de hashes die ze zelf op internet weten te vinden kwetsbaar zijn! Dan ga je niet alleen van die accounts het account resetten!!!!
07-06-2012, 11:25 door Anoniem
Als je de tranen uit je ogen veegt, zie je dat "123456", "linkedin" en "password" wel gecrackt zijn volgens die site.
"test" niet. Eventjes nadenken en je weet waarom.
07-06-2012, 11:48 door Anoniem
1) geen salts op wachtwoord hashes anno 2012
2) alleen 'getroffen' gebruikers verplicht account resetten (alsof linkedin weet welke accounts er niet getroffen zijn)
3) amateuristisch advies om een wachtwoord te kiezen
4) iemand heeft kennelijk toegang tot credentials, maar laten we vooral net doen alsof alleen de hashes die we zien bemachtigd zijn en er voor de rest alleen wat onderzoek nodig is.

Handelaren op de beurs vinden het ondertussen wel prima dat LinkedIn zo slecht bezig is met beveiliging. De koers van het aandeel heeft er niet onder geleden, dus of je nu goed of slecht met andermans gegevens en persoonlijke profielen omgaat maakt voor de waarde van een bedrijf niet uit. Weet u meteen weer wat u bij bedrijven en handelaren werkelijk waard bent. U bent waardeloos als u er in trapt om bij een onveilige toko rond te blijven hangen. Eigen schuld dikke bult.
07-06-2012, 12:13 door Anoniem
De SHA1-hashes van de simpelere wachtwoorden zijn 'verminkt' doordat 't 1e stuk van de SHA1-hash vervangen is door 00000...

LeakedIN.org zou dat kunnen afvangen door alleen te checken op 't laatste stuk van de hash... blijkbaar doen ze dat niet...

Overigens heb ik 'n paar uurtjes een cracker tegen de gelekte hashes aan gehouden, en passphrases als Purplepeopleeater, Blondshavemorefun2, Thelordoftherings5 en godisgoodallthetime zijn reeds gecrackt...

Puur een wat langere zin met een hoofdletter en een cijfertje erachter is dus NIET een veilig wachtwoord... Denk dat 't met name belangrijk is dat je geen woordenboek-woorden gebruikt... Then again, 't langste tot nu toe gekraake wachtwoord is rbdc9vtrc8d7972j97jyprvmg....
07-06-2012, 12:52 door Anoniem
Het is heerlijk spelen met:
https://lastpass.com/linkedin/

testing
123456789
987654
password
geheim

Ik had een slechte dag vandaag, maar nu voel ik me weer veel beter! ;-)
07-06-2012, 12:55 door Anoniem
Door Anoniem: @Anoniem 01:06 en 01:07

Wat een bagger site :'). Wachtwoorden zoals:

123456
test
linkedin
password

Zijn allemaal niet gecracked volgens dat ding? :')
Eindelijk iemand die nadenkt!
Het zal straks allemaal een vette hoax blijken te zijn, en daarna facebook...
07-06-2012, 13:58 door Anoniem
Iemand heeft voorkennis hoe wachtwoorden bij LinkedIn worden opgeslagen: SHA-1 zonder salt. Hoe groot is wiskundig gezien de kans dat iemand een berg (zeg 6 miljoen) wachtwoorden genereert en heel veel van die wachtwoorden blijken toevallig bij een gedeelte van de 160miljoen accounts van LinkedIn gebruikt te worden....
Waar komt vandaan dat dit bij accounts van LinkedIn hoort en niet een of andere malloot de boel op stelten zet met de suggestie dat dit bij LinkedIn zou horen.....!!!!
07-06-2012, 17:44 door Anoniem
Leuk die sites waar je kan checken of je wachtwoord gehacked is... Ipv rainbow tables te moeten maken bouw je gewoon deze site et voila gebruikers submitten zonder pardon hun wachtwoord via deze site. Maw gebruik deze sites niet om je eigen wachtwoord te "testen" maar download de publiek gemaakte source en doe zelf een echo -n <wachtwoord> | openssl sha1 commando op je eigen machine en kijk of ie er tussen staat.
08-06-2012, 09:34 door [Account Verwijderd]
[Verwijderd]
08-06-2012, 10:38 door Anoniem
Misschien een beetje rare vraag, maar om wat voor attack ook te kunnen doen op welke gehashed gepeperd of gesalted password dan ook is het toch noodzakelijk om de beschikking te hebben over de file waar de hashes in staan opgeslagen. Daarvoor heb je mi een admin pw of een andere truuc nodig. Als je als zodanig het systeem ben binnengedrongen, ben je toch in staat alles te doen (ook resetten van passworden ed.)
Ik maak me dan ook meer ongerust over het feit dat men met de passworden aan de haal is gegaan dan het feit dat er niet de meest optimale ;-) hashing methodiek is gekozen .
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.