A szociális média jelentette veszélyre hívta fel egy nemrégiben megjelent cikk a figyelmet. Informatikai szakemberek egy hamis Facebook és LinkedIn profil segítségével szenzitív információkat szereztek meg amerikai kormányzati szervektől.

Tárgyalás előtt elutasított a bíróság a LinkedIn ellen, a jelszavak tavaly nyári nyilvánosságra kerülése után indított class-action pert (amikor az érintettek közösen lépnek fel bíróságon). Az észak-kaliforniai kerületi bíróságon Edward Davila bíró elutasított két prémium felhasználó keresetét, mivel azok nem tudták bizonyítani, hogy bármilyen tényleges kárt szenvedtek el a 6,5 millió jelszó hash nyilvánosságra kerülése miatt. A LinkedIn nem sózta (salt) a jelszavakat, ráadásul az elavultnak számító SHA-1 algoritmust használva készítették a jelszó hash-eket. A jelszó hash sózása arra szolgál, hogy nehezebben lehessen visszaállítani a hash-ből az eredeti jelszót.

A 6,5 millió kiszivárgott jelszó hash kapcsán (amelyek közt ott volt a szerzőé is), megnéztem közelebbről a LinkedIn adatvédelmi házirendjének biztonsággal foglalkozó részét. "Az Ön által szolgáltatott személyes információk az ipari és technológia szabványok szerint lesznek biztosítva". Az első kérdés, ami felmerül ezután, hogy mi volt az az iparági szabvány, amit a LinkedIn betartott. Nem "sózták" (salt - egy gyakran használt kriptográfiai eljárás) a jelszavakat, és az SHA1 algoritmust használták, amely köztudottan nem megbízható, ráadásul a NIST sem támogatja a használatát egyes alkalmazásoknál.

Úgy véli, hogy az Ön jelszava egyedi és megfelelően átgondolt? A Rapid7 biztonsági cég készített egy infografikát az elmúlt héten nyilvánosságra került leggyakrabban használt LinkedIn jelszavakról. Több száz ismétlődést és mintát találtak az adathalmazban. A jelentés szerint a "Link" volt a leggyakoribb jelszó, továbbá nagyon sok olyan felhasználó van, aki az oldal profiljába vágó jelszót választott, mint például a "work" és a "job".

A Nemzeti Hálózatbiztonsági Központ (PTA CERT-Hungary) információi szerint, egy jelszó feltörésekkel foglalkozó orosz fórumon több mint 6,5 millió SHA1 jelszó hash-t tettek közzé a népszerű LinkedIn weboldallal kapcsolatban, amelyből a jelszavak visszafejthetőek. Jelenleg arról nincs információ, hogy a felhasználóneveket is sikerült e megszerezniük a támadóknak.

Hivatalos közlemény egyelőre a LinkedIn üzemeltetőitől még nem érkezett, mindenesetre minden LinkedIn felhasználónak javasoljuk, hogy mihamarabb változtassa meg jelszavát.

Biztonsági kutatók több sérülékenységre bukkantak a LinkedIn SSL-n keresztül történő cookie kezelésében. A sérülékenységeket kihasználva egy támadó feltörheti a felhasználó fiókját vagy módosíthatja annak tartalmát a felhasználó beleegyezése nélkül.

A LinkedIn a biztonsági megoldásait teljesen áttervezte, segítve a felhasználóit a fontosabb információk gyorsabb megtalálásában és a kontrollok navigálásának könnyítésében.