Nieuws
image

LinkedIn: geen misbruik gestolen wachtwoorden

vrijdag 8 juni 2012, 10:57 door Redactie, 6 reacties

LinkedIn heeft nog geen meldingen ontvangen dat de 6,5 miljoen gestolen wachtwoorden ook zijn gebruikt om ongeautoriseerd toegang tot accounts te krijgen. Dat laat de sociale netwerksite op het eigen blog weten. Aanvallers publiceerden woensdag een bestand met de wachtwoord-hashes van 6,5 miljoen gebruikers.

Een deel van de gecodeerde wachtwoorden waren door de aanvallers ontsleuteld. De bij deze wachtwoorden horende accounts werden door LinkedIn afgesloten. Vervolgens kregen gebruikers via e-mail te horen dat ze een nieuw wachtwoorden moesten aanmaken. Als aanvullende maatregel zijn nu ook de wachtwoorden van andere leden uitgeschakeld waarvan de netwerksite vermoedt dat ze mogelijk getroffen zijn. Tevens zou de FBI de zaak in onderzoek hebben.

Back-up
Waar de gegevens vandaan komen is nog altijd onbekend, maar beveiligingsonderzoeker Joseph Bonneau vermoedt dat het om een oude back-up gaat. Daarnaast zijn de wachtwoorden van waarschijnlijk veel meer gebruikers gelekt dan de 6,5 miljoen die de media melden. Aan de hand van een data-lek bij RockYou, waarbij de gegevens van 32 miljoen gebruikers op straat kwamen te liggen, bleek dat 14 miljoen gebruikers een uniek wachtwoord gebruikten.

In een willekeurige selectie van 12,5 miljoen RockYou-wachtwoorden, werden 5,8 miljoen unieke wachtwoorden aangetroffen. Bonneau denkt dat het aantal getroffen gebruikers dan ook eerder rond de 12,5 miljoen ligt. In de huidige situatie, zonder bijbehorende e-mailadressen, heeft het lek minimale gevolgen voor LinkedIn-gebruikers, concludeert de onderzoeker.

Impact
"De situatie zou veel erger kunnen worden. De aanvaller heeft mogelijk de gehele database in handen en heeft alleen een gedeelte per ongeluk gelekt of probeert een koper te vinden", gaat Bonneau verder. Hij vindt alle media-aandacht buiten proportie. "LinkedIn moet worden bekritiseerd als hun wachtwoord-database is gestolen, maar de nieuwsdekking heeft tot nu toe alleen voor voorbarige paniek onder LinkedIn-gebruikers gezorgd."

Reacties (6)
08-06-2012, 11:58 door Anoniem
Is ook bekend wie de daders zijn?
08-06-2012, 12:52 door Anoniem
Het is nog erger: het zogenaamd goede nieuws wat LinkedIn roept is dat ze geen meldingen van _geverifieerd_ misbruik hebben ontvangen. Voor de rest doen ze over meldingen het zwijgen toe over meldingen. Waarom brengen ze het nieuws over niet ontvangen van geverifieerd misbruik dan naar buiten...? Mooi weer spelen.

Beste LinkedIn, hoe hebben die 160 miljoen klanten van jullie dan kunnen controleren dat er geen misbruik is gemaakt en dat kunnen verifieren? Hoe kunnen jullie bij LinkedIn het verifieren? Hebben die klanten inzicht in wanneer er vanaf waar is gebruik gemaakt van hun account? Of beschouwen ze het bij LinkedIn alleen als misbruik wanneer een klant ziet dat er met diensten of teksten is gerommeld en een klant kan bewijzen dat het niet een of andere slordigheid was waardoor iemand zonder kennis van die hashes binnen kwam? Want dat is waarschijnlijk wel iets wat al jaren dagelijks voorkomt met 160 miljoen gebruikers en een niet al te florisant beveiligingsbeleid.

Overigens "Our efforts to protect LinkedIn members impacted by this incident are ongoing "... Wie zijn er volgens jullie bij LinkedIn eigenlijk impacted door dit incident? Is het werkelijk verstandig om er voor het gemak maar vanuit te gaan dat alleen accounts waarvan jullie bij LinedIn op het internet de hashes hebben gevonden daartoe horen en de overige 154 miljoen gebruikers maar zogenaamd niet van toepassing zijn?! Een beslissing die ze al hebben genomen toen ze nog niet wisten hoe de hashes op het Internet zijn gekomen, ergo nog niet weten hoe diep een indringer in hun systemen zit....

Ik vind dat LinkedIn hier blunder op blunder laat zien met betrekking tot veiligheid. Er word heel veel moeite gedaan om erg weinig te vertellen en heel veel moeite gedaan om alles aan te grijpen om maar zogenaamd goed nieuws te brengen. Geen mens die er naar kraait, want men snapt er toch niets van.
08-06-2012, 14:58 door tegenlicht
Standaard verhaal. Eerst niet reageren, dan ontkennen, daarna relativeren
08-06-2012, 15:10 door Anoniem
Waarom maakt niemand van de gevestigde media duidelijk dat er kennelijk flinke haken en ogen aan zitten als je je persoonsgegevens bij een commerciele partij legt en die partij ook nog eens in het buitenland staat?! Ze gaan er duidelijk heel slordig mee om en hebben niet de aanpak die erop gericht is om de persoonsgegevens van miljoenen personen zo optimaal mogelijk te beschermen. Men beschermt vooral hun eigen glimlach.
08-06-2012, 19:17 door Anoniem
Zovver ik kan beoordelen wordt er wel misbruik gemaakt van de gestolen e-mail adressen Al op 13 mei kwam er veel casino spam binnen op het mail adres wat ik speciaal voor linkedin had aangemaakt. Deze casino spam word/werd ook verstuurd naar een oud mail adres die ooit achter gelaten was op monsterboard....
09-06-2012, 12:14 door burne101
Door Anoniem:
Waarom maakt niemand van de gevestigde media duidelijk dat er kennelijk flinke haken en ogen aan zitten als je je persoonsgegevens bij een commerciele partij legt en die partij ook nog eens in het buitenland staat?!
Als je het lief vraagt en een baan in de aanbieding hebt krijg je gewoon een kopietje van mijn CV. Dat is het voornaamste wat er op linkedin staat. En als je een beetje thuisbent in mijn tak van sport ken je de meeste van mijn ex-collega's vast ook wel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure