Co víme o uniklých heslech z LinkedInu

8. 6. 2012
Doba čtení: 1 minuta

Sdílet

Včera vyšlo najevo, že sociální síti LinkedIn unikla hesla 6,5 milionů uživatelů. Byli mezi nimi i ti z Česka. Hackeři se mohli k heslům dostat ale mnohem dříve.

Sociální síť LinkedIn má poměrně zásadní problém. Včera vyšlo najevo, že do rukou hackerů se dostalo 6,5 milionu hesel uživatelů v „hash“ podobě, ze které ale není nijak obtížné získat skutečné heslo.

1. Existuje soubor s více než 6 miliony hashi hesel (jde poměrně jednoduše sehnat, sám mám doma kopii).
2. LinkedIn potvrdil, že ty hashe odpovídají jeho heslům.
3. Hesla v uniklém souboru jsou unikátní. Odpovídají tedy víc než 6 milionům uživatelů.
4. Hash mého hesla (středně složitého) v souboru není. Hash hesla +Michal Špaček (velmi složitého) tam je.
5. Z těch 6 milionů hesel je zatím známo, že se podařilo rozlousknout 300 tisíc (update: sophoslabs už hlásí, že rozlouskli 3,5 milionů hesel z toho souboru)
6. U jednoduchých hesel je prvních 5 znaků hashe nahrazeno za „00000“. To je těch 3,5 milionů hesel, o kterých byla řeč v bodě 5.

Když si dám dvě a dvě dohromady, tak můj názor je:
- mohlo uniknout hashů víc, než je v daném souboru, možná i všechny
- tipoval bych, že původní hackeři i vědí, kterým účtům hesla patří
- většinu hesel rozlouskli sami (rozlousknout většinu hesel v nesaltovaném SHA1 je totiž jednoduché – existují obrovské databáze, které se pro zpětný převod dají použít)
- dodatečné informace mě vedou k názoru, že uniknutí hesel neproběhlo teď, ale mnohem dříve, přibližně necelý rok zpátky

Jediným řešením pro LinkedIn je imho všechna stará hesla zablokovat a vyzvat všechny uživatele ke změně. Nová hesla minimálně saltovat. A prověřit, kudy utekly, aby se to nestalo podruhé. Pokud vím, tak už něco v tomhle směru dělají, ale divím se, že na hlavní stránce linkedin.com ani na přihlašovacím formuláři o tom není ani slovo.

Autor článku

@michalillich, nyní podnikatel, mentor a případný investor; předtím zakladatel firmy Jyxo, která kromě vyhledávače vyvinula i Blog.cz, Galerie.cz a původní verzi Sklik.cz.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).