LinkedIn heeft bevestigd dat aanvallers erin geslaagd zijn om de wachtwoorden van een onbekend aantal gebruikers te stelen. Vanmiddag werd bekend dat op een Russische website een bestand was geplaatst met daarin de wachtwoord-hashes van 6,5 miljoen gebruikers van de sociale netwerksite, die in totaal 161 miljoen leden heeft. Van 300.000 accounts waren inmiddels de wachtwoorden via de hashes achterhaald.
"We kunnen bevestigen dat sommige van de wachtwoorden die gecompromitteerd zijn toebehoren aan LinkedIn accounts", aldus Vicente Silveira op het LinkedIn blog. Het onderzoek naar de inbraak is nog niet afgerond. Toch zijn van alle getroffen gebruikers de wachtwoorden gereset en zijn die per e-mail ingelicht met instructies hoe ze een nieuw wachtwoord aan kunnen maken.
Daarnaast krijgen deze getroffen gebruikers ook een tweede e-mail van het Customer Support team met aanvullende informatie waarom men het wachtwoord moet wijzigen.
Salt
LinkedIn wekte de woede van talloze gebruikers omdat het geen salting van gehashte wachtwoorden toepaste. Salting maakt het lastiger voor aanvallers om het bij de hash horend wachtwoord te achterhalen. "We bieden onze excuses voor het ongemak aan. We nemen de veiligheid van onze leden zeer serieus", aldus Silveira.
Eerder op de dag gaf LinkedIn gebruikers, vanwege het toen nog onbevestigde lek, wachtwoord-advies. Ook LinkedIn lijkt onbekend met het concept van passphrases te zijn, aangezien het adviseert om een zin te verzinnen en vervolgens van elk woord de eerste letter te nemen.
Experts adviseren juist passphrases, 'wachtzinnen' die uit meerdere woorden bestaan, omdat ze eenvoudiger te onthouden zijn en vaak zonder veel moeite boven de 20 karakters kunnen uitkomen, waardoor de hash veel lastiger te kraken is dan van een kort maar complex wachtwoord.
Deze posting is gelocked. Reageren is niet meer mogelijk.