LinkedIn gaat ernstig in de fout

08-06-2012 10:02 | Door Henri Koppen | Lees meer artikelen over: Authenticatie, Social media | Lees meer over het bedrijf: LinkedIn | Er zijn 12 reacties op dit artikel | Permalink
Computable Expert
Henri Koppen
Henri Koppen

Cloud Computing Consultant

Expert van Computable voor de topics: Cloud Computing en BPM

Meer

Zoals je wellicht gelezen hebt kun je een bestand downloaden met meer dan zes miljoen LinkedIn-wachtwoorden. Versleuteld weliswaar, maar relatief zwak versleuteld en zonder gebruik te maken van 'salt'. Twee mensen met hetzelfde wachtwoord zullen dan ook maar één keer in het bestand voorkomen. Dit nieuws stinkt aan alle kanten en ik ben zeer teleurgesteld in LinkedIn. Laat me een paar gedachten met je delen.

Mijn wachtwoord stond in de lijst. Er komen geen dubbele records in de lijst voor. Aangezien niet iedereen een uniek wachtwoord heeft is de lijst van zes miljoen wachtwoorden dus voor (veel) meer dan zes miljoen gebruikers! Deze gedachte is niet uniek, op http://it.slashdot.org/comments.pl?sid=2898871&cid=40232643 lees je er meer over.

Het bestand is 'oud'. Dit betekent dat de accounts al lang geleden gekraakt zijn. Er zit een zwakte in de LinkedIn-app dat wachtwoorden te onderscheppen zijn. Ik gebruik de LinkedIn-app niet en mijn wachtwoord zit er ook tussen, mijn wachtwoord is dus niet op die manier gevonden. De database van LinkedIn is gewoon gekraakt.

Dit is natuurlijk erg, maar LinkedIn speelt mooi weer en geef wel wat toe, maar laat het overkomen alsof het niet ernstig is. Dit is *zeer* ernstig omdat A) hun database gehackt is en B) wachtwoorden zwak versleuteld zijn. Voor een miljarden bedrijf die op de beurs handelt is dit een doodzonde. Vooral omdat het wat zwaarder versleutelen een eitje is. Iets wat LinkedIn binnen 24 uur nu ook heeft doorgevoerd!

Als zo’n bedrijf al zo sloppy met veiligheid omgaat, dan belooft dit niet veel goeds. Nu denken veel mensen vast 'Lekker boeiend er staat toch niets belangrijks in'. Maar met jouw account hebben ze ook jouw e-mailadres en jouw gebruikersnaam. Deze combinaties gaan geautomatiseerd uitgeprobeerd worden op andere sites om met jouw gegevens ergens anders in te loggen. Veel mensen gebruiken vaker eenzelfde wachtwoord. En dat kan leiden tot iets groters dan je LinkedIn-gegevens.

Er zijn twee zaken die je goed moet beschermen met variabele, sterke wachtwoorden:

1) Toegang tot e-mail
2) Toegang tot zaken die te maken hebben met geld

Stel je e-mailaccount is gehackt en je bent een gebruiker van Pay-Pal. Bij Pay-Pal geeft de dief aan zijn wachtwoord vergeten te zijn, die wordt verstuurd naar je e-mail. Dit mailtje wordt direct verwijderd door de hacker en nu logt hij in op je Pay-Pal-account en wijzigt daar het e-mailadres naar een 'eigen' e-mailadres. Vanaf dat moment kan er geld gestolen worden van je rekening en duurt het een tijdje voordat je dat door hebt. Dit is slechts één voorbeeld.

Wil je kijken of jouw wachtwoord bij LinkedIn ook gekraakt is? Ik heb het bestand met de hashes (versleutelde) wachtwoord gedownload (kijk voor links op http://tweakers.net/nieuws/82411/wachtwoorden-miljoenen-linkedin-gebruikers-op-straat.html) en gekeken of mijn wachtwoord erbij zit. Dit was zo. Met deze link: https://oisyn.nl/converter/#dGVzdA==;u8;sha1;0 kun je een wachtwoord vertalen naar het versleutelde wachtwoord. Het bestand bevat veel regels die met vijf nullen beginnen. Dit zijn wachtwoorden die al zijn gekraakt. Door de eerste vijf tekens van jouw wachtwoord te wijzigen in 00000 en dit in het bestand te zoeken geeft aan of jouw wachtwoord er tussen staat.

Samenvattend:
1) LinkedIn is lang geleden gehackt en de hacker had toegang tot de database
2) LinkedIn heeft wachtwoorden slecht versleuteld
3) LinkedIn wist niets van de hack
4) LinkedIn bagataliseert de zaak
5) Grote bedrijven doen niet zomaar goed aan beveiliging

Reacties op dit artikel
De redactie vindt deze reactie: OKRuud Mulder, 08-06-2012 10:59
Henri,
 
Ik deel je mening totaal. Het verbaast mij hoe weinig er aan damage control door Linkedin gedaan wordt. Ik moest dit via andere media vernemen. Hier had op het moment van uitlekken toch echt iets proactiefs op ondernomen moeten worden vanuit Linkedin.
 
Zeer slechte reclame en PR dit.
De redactie vindt deze reactie: OKDennis Kosse, 08-06-2012 11:25
Uiteraard eens, waarbij ik denk dat dit nogmaals het belang van het gebruik van two-factor authentication aangeeft.
 
Zo geeft o.a. Facebook en Google hiertoe verschillende opties, zoals het versturen van SMS of het gebruik van een generator app, wanneer een 'vreemd' apparaat wordt herkent. Zo heeft de hacker niets aan enkel het wachtwoord. Alleen jammer dat LinkedIn deze mogelijkheid niet heeft, waarbij ik ook geen Single Sign-on mogelijkheid krijg met bijvoorbeeld het koppelen van een ander 'veilig' account.
 
Uiteraard lost dit niet het probleem op, maar maakt het risico kleiner. Zo is ook het gebruik van een “password-safe tooltje”, zoals keypass, weer een extra drempel, zodat je in ieder geval unieke complexe wachtwoorden gebruikt.
 
Verplichte audits op dergelijke implementaties gaat iets te ver.. of toch niet?
De redactie vindt deze reactie: OKM, 08-06-2012 12:40
'Verplichte audits op dergelijke implementaties gaat iets te ver.. of toch niet… ?'
 
Het gaat juist ver dat overheden dit soort onveilige toestanden toestaat.
Er is gewoon periodiek en verplicht security-onderzoek nodig bij zulke bedrijven. Bijv. te beginnen bij alle bedrijven die meer dan één miljoen accounts hebben.
En de uitslagen van die onderzoeken moeten dan gewoon per direct openbaar; bijv. op www.securityaudits.org (ik noem maar iets).
De redactie vindt deze reactie: OKReza Sarshar, 08-06-2012 12:48
Henri,
Ik lees altijd met interesse je opinie en artikelen. Maar wat is de link tussen de inhoud van dit artikel en de opinie op Computable-site?
Dit artikel had ook op Telegraaf.nl kunnen staan! Ik zie hieronder een opsomming van feiten die al bekend zijn en mis je visie omtrent wat er gebeurd is.
 
Er wordt gezegd dat jij als bedrijf niet "altijd" in staat bent om de security (en nog veel andere zaken) goed te regelen. Het uitbesteden van je diensten aan externe leverancier (lees Cloud) wordt als een oplossing benoemd.
Ik beschouw LinkedIn als een groot bedrijf. In mijn ogen wat er met LinkedIn gebeurd is, is een tegen argument voor de stelling hierboven(uitbesteden). Ook de bekend en grote bedrijven kunnen niet alle zaken waar je niet goed in bent, goed realiseren. Er zijn genoeg (grote)bedrijven die achter hun muren gebruik maken van diensten van veel andere (extern en sub) leveranciers iets wat de kans op een risico groter “kan” maken(meer schakels in de keten). Dit is niet voor me als klant zichtbaar (en dat wil ik ook niet weten/zien).
 
Wees als klant bewust van het feit dat de externe leveranciers (hoe groot ze ook zijn) niet “altijd” je problemen op kunnen lossen zoals dat in de salsetraject beweerd wordt.
De redactie vindt deze reactie: OKHans, 08-06-2012 12:52
Waar maak je je druk om, 'je hebt toch niets te verbergen?' Vrees niet: straks gaat de overheid zich er mee bemoeien en weet je niet eens meer wat er allemaal over je gelekt wordt (CISPA), dus hoef je je er ook niet meer druk om te maken (onderga gewoon de gevolgen). Slaap zacht.
 
Social media: educate yourself. Think!
De redactie vindt deze reactie: OKedekkinga, 08-06-2012 13:07
Henri,
 
Een goed stuk waar je terecht het 'pijnpunt' van zwakke wachtwoorden en herhaald gebruik hiervan bij andere diensten aangeeft. Blijkbaar leeft dit besef niet bij veel mensen en velen halen dan ook hun schouders op bij dit nieuws. Dat lijkt me nogal zorgelijk want daarmee krijgt dit geval een gelijkenis met een eerdere hack waardoor KPN klantgegevens op straat kwamen te liggen. Een ezel stoot zich blijkbaar toch wel vaker aan dezelfde steen.
 
Dat LinkedIN niet als enige zo koppig als een ezel is in het ontkennen van het risico is trouwens ook niet uniek. Ondertussen zijn ze wel wakker geworden en ondernemen ze actie door getroffen gebruikers te informeren. Helaas lijken de hackers hier ook weer gebruik van te maken door gelijkende phishing mails te versturen.
De redactie vindt deze reactie: OKHenri Koppen, 08-06-2012 13:41
Allen, ik wist niet wanneer mijn stukje geplaatst zou worden, want ik wil nog wel wat dingen toevoegen:
 
Ik weet het verschil tussen hashen en versleutelen. In andere fora wordt hierover gevallen. Ik zie een hash we degelijk als een versleuteling waarbij de SHA-1 in dit geval de sleutel is, maar als je met cryptologen een discussie aangaat vallen ze hier over.
 
Punt 6 had ik ook nog toe willen voegen:
6) LinkedIn geen clue heeft en dus ook geen controle
 
Op http://leakedin.org/ kun je kijken of jouw wachtwoord ook in het bestand zit en of het al gekraakt is. Nu denk je vast, haha, ik ga daar toch niet mijn wachtwoord invoeren... oordeel zelf. Op geen stijl zijn ook leuke probeersels te vinden.
 
@Johan Wijnker: Ja, dat HTTP inloggen heb ik ook al een tijd geleden bij Computable gemeld en is een doorn in mijn oog. Het besef is er gewoon nog niet dat het internet een "wicked place" is waar niet iedereen goede bedoelingen heeft. Het is erop wachten dat dit mis gaat.
 
Je moet er dus eigenlijk vanuit gaan dat je gegevens nergens veilig zijn, want bij LinkedIn blijkt het bestand al meer dan een jaar oud te zijn...
 
Ik heb ook indicatie dat de usernames ook net als de wachtwoorden verspreid zijn. Sinds het lek eergisteren heb ik kennissen die ineens last hebben van SPAM status updates in hun LinkedIn. Blijkbaar willen een aantal lieden nog snel even wat doen voordat het dicht gezet wordt.
 
@Reza: De link is deze: Ik ben cloud computing deskundig en LinkedIn is een SaaS op basis van Cloud Computing ;-) Dit is een Cloud-breach en dus zeker relevant. En ja, ik ben erg pro-cloud en dit is in feite een ramp en dus voor iedereen een wake-up call dat grote bedrijven veiligheid niet allemaal serieus nemen. Maar ik stop nu niet met het gebruik van Google Apps aangezien ik bij hun wel het gevoel heb veilig te zitten met 2-weg authenticatie. Je moet je realiseren dat elke werkplek met toegang tot het internet een risico vormt. Dus niet doen aan cloud computing betekent niet dat je "veilig" bent.
 
Overigens is niet het lekken van data bij LinkedIn het ergst. Wat erg is, is dat veel mensen voor meerdere diensten hetzelfde wachtwoord gebruiken. Daar steekt de angel. Als iedereen netjes om zou gaan met verschillende wachtwoorden dan was de hack bij LinkedIn niet zo'n catastrofe geweest.
 
Als laatste dit: Ga ik nu mijn LinkedIn profiel verwijderen? Nee. Terwijl ik dit moreel wel zou moeten doen. En dat... wringt.
De redactie vindt deze reactie: GoedNick Kusters, 08-06-2012 14:22
Beste Henri,
 
Een paar zaken,
 
De iOS app lekt geen wachtwoorden, maar stuurt zonder toestemming kalender informatie door.
 
Verderop geef je af op de manier waarop wachtwoorden worden opgeslagen bij Linked IN.
 
Hoewel het Salten van wachtwoorden in 2004 gezien werd als DE manier om veilig met wachtwoorden om te gaan, is dit inmiddels al een paar jaar achterhaald doordat o.a. NVidia met CUDA en ATI met Stream zijn gekomen en daarmee de gigantische rekenkracht van grafische kaarten unlockt hebben is ook het kraaken van hashes of hashes die een keer gesalt zijn niet genoeg. Nu wordt geadviseerd om Bcrypt/scrypt/etc te gebruiken die dit proccess meerdere keren herhaalt.
Linked IN bestaat als sinds 2002. Is het stom dat ze de manier van het omgaan met wachtwoorden niet hebben aangepast? Zeker, maar als je denkt dat andere bedrijven het beter doen, dan heb je het mis; hashen (met of zonder salt) is de standaard; de techniek die verderop aangehaald wordt om het beter te doen wordt nouwelijks gebruikt. Het beste advies is nog altijd om te zorgen dat je voor alles een ander wachtwoord gebruikt, er zijn programma's zoals KeePass die dit heel makkelijk maken. Daarbij komt, dat als je je wachtwoorden toch niet hoeft te onthouden (doet KeePass voor je), dat je dan ook 20+ random characters kunt gebruiken waardoor het niet meer zo makkelijk te kraken is als je wachtwoord slechts beschermd wordt met een enkele one-way hash.
 
Om te zien hoe makkelijk de wachtwoorden ongesalt te kraken zijn: http://erratasec.blogspot.co.uk/2012/06/linkedin-vs-password-cracking.html
 
Informatie over hoe het beter kan: http://www.f-secure.com/weblog/archives/00002379.html
 
Als laatste wat statistieken over de gebruikte wachtwoorden: http://pastebin.com/5pjjgbMt
 
Als laatste is het erg onverstandig om mensen te adviseren om hun wachtwoord op de website van een 3e partij in te geven.
 
In het geval van LeakedIN.org worden bijvoorbeeld alle wachtwoord hashes netjes gelogd door het statistieken bedrijf dat ze gebruiken (Clicky), niet heel verstandig dus... Bewijs? https://twitter.com/getclicky/status/210538248034988035
De redactie vindt deze reactie: OKAndre Salomons, 08-06-2012 14:43
@Reza, niet alleen grote Cloud leveranciers nemen security niet allemaal serieus zoals zou moeten, gebruikers interesseert het vaak ook hoegenaamd niet. Kalf management dus.
Goed en actueel artikel Henri!
De redactie vindt deze reactie: GoedHenri Koppen, 09-06-2012 8:56
We zijn nu een paar dagen verder na het uitlekken van de wachtwoorden lijst van LinkedId. Er is op zich weinig nieuws, maar ik heb wel langer nagedacht over dit alles, en ik wil deze gedachten delen.
 
Laat ik zaadje planten. Misschien is LinkedIn niet gehackt. Dit is iets wat LinkedIn ook wil doen geloven in hun laatste verklaring ( http://goo.gl/Q6lDn ). Als ik een lijst maak van 0000 tot en met 9999 en deze verspreid met de boodschap dat ik de Nederlandse bankpassen heb gekraakt van de ABN dan zal iedereen bevestigen dat hun pincode er tussen staat. Ik kan binnen vijf minuten een lijst produceren van wachtwoorden die gehashd zijn met SHA-1 die zo lang is als de lijst die op het internet verschenen is. Maar die zou wel willekeurig zijn. Er is ook zoiets als rainbow tables. Deze zijn door de tijd heen opgebouwd om SHA-1 wachtwoorden sneller te ontcijferen. Als je hier een slimme selectie uit haalt heb je al een grotere kans om werkelijke wachtwoorden te tonen. Mijn wachtwoord die ik uit de lijst haalde gebruikte ik inderdaad op LinkedIn. Maar ook op Twitter, Last.FM, en op Computable.nl. Het is een wachtwoord wat niet uit alleen uit letters bestaat, maar ook uit cijfers. Het is niet onmogelijk dat iemand anders dit wachtwoord ook gebruikt. Juist omdat de impact laag is was het wachtwoord niet bijzonder sterk en gebruikte ik hem voor meerdere doeleinden. Ik kan alleen mijn eigen wachtwoord valideren. Ik ben benieuwd of een gebruiker van KeePass of LastPass ook zijn wachtwoord heeft teruggevonden. Die tooltjes maken voor elke site een ander wachtwoord aan en daarmee kan daadwerkelijk gevalideerd worden dat de lijst op het internet echt van LinkedIn afkomstig is. Als dit zo is (en zo lijkt het wel te zijn), dan is het zeer waarschijnlijk dat er bij de wachtwoorden lijst ook de inlognamen bekend zijn.
 
De laatste verklaring van 7 Juni waar ik al de link van gaf is wederom een loze verklaring waarin ze schrijven dat er geen indicatie is dat ook de inlognamen verspreid zijn:
 
'To the best of our knowledge, no email logins associated with the passwords have been published, nor have we received any verified reports of unauthorized access to any member’s account as a result of this event.'
 
Er is dus ook geen ongeoorloofd toegang gedetecteerd. Right. Hoe kunnen ze dat onderscheid maken? En wat valt er te halen dan? Wat spam verspreiden? Nee, de buit zit hem in het proberen van de gebruikersnamen en wachtwoorden op andere diensten. En zoals iemand al toegaf; die gebruikte dezelfde gegevens voor LinkedIn als voor PayPal. Statistiek zal uitwijzen dat diegene niet uniek is....
 
In de reacties die ik kreeg op Computable.nl stond ook een rake. Ga maar eens naar LinkedIn en log uit. Inloggen gebeurt over een gewone HTTP verbinding. Dus gegevens worden niet eens versleuteld verzonden naar LinkedIn!! Als ze veiligheid serieus namen... dan zouden ze dat ook aanpassen.
 
Als ik het artikel op ZDnet moet geloven ( http://goo.gl/IAS70 ) dan heeft LinkedIn niet zoiets als een information officer (CIO), of een chief information security officer (CISO).
 
Alles bij elkaar opgeteld is dit een faal van epische proporties. Ik kan niet één goed punt vinden die in het voordeel van LinkedIn spreekt. Het enige wat het mij brengt is dat ik nu serieus een poging doe om over te stappen op een wachtwoordtool.
De redactie vindt deze reactie: GoedHenri Koppen, 09-06-2012 13:46
@Nick :-)
 
Salt is beter dan geen salt, maar waar het om gaat is dat een groot bedrijf gehackt is, geen clue heeft over het hoe en wat, en veiligheid niet serieus neemt.
 
Ik ben het absoluut met je eens dat het tijd is voor wachtwoord tooltjes en waar mogelijk 2-weg authenticatie.
 
Ik adviseer mensen niet hun wachtwoord op andere sites in te geven, ik zeg alleen dat het kan en dat je zelf moet besluiten of je dit vertrouwt of slim vind. Aangezien zowel mijn hash als wachtwoord al "wasted" heb ik er geen enkel probleem mee om het oude wachtwoord te testen, maar ik zal dit nooit als advies geven.
 
Zag net een tweet van Frank Meeuwsen hoe die een wachtwoord plain text toegemaild krijgt van Ziggo. Dat is ook evil.
 
Maar dat er veel mis is, lijkt me duidelijk. Uiteindelijk leidt het wel tot meer bewust zijn. Overigens zijn er ook veel bedrijven die het beter doen, kijk naar Google.
De redactie vindt deze reactie: OKNumoQuest®, 11-06-2012 13:52
Misschien een beetje in tegenstelling met de criticasters hier kan ik me de gedachtengang van Linkedin wel volgen, ook al ben ik net als Henri er toch duidelijk een andere mening toegedaan. Ik vind het veel interessanter om te vernemen welke procesmatige stappen ze hebben genomen ter verbetering van.
 
Ik wil de redenering van het beschikbaar maken van wachtwoorden, of het je toegang kunnen verschaffen door hacken van eventuele financiële componenten niet helemaal volgen. Als je namelijk een beetje na denkt maak je gewoon dergelijke koppelingen niet.
 
Vanuit mijn beleving is het terecht dat de gegevens van LinkedIn, naar buiten toe gepresenteerd, van elk individu, juist één van de pijlers van LinkedIn, toch?
 
Wat de punten van Henri betreft in de opsomming...... ik kan dat rijtje, vanuit eigen waarneming en ervaring misschien nog wel aanvullen met een twintig tal punten maar, ik ben de mening toegedaan dat wanneer je te maken krijgt met een hacker, kijk even naar hoe het verliep bij de KPN, dat je je eerst zou richten op het voorkomen van erger en daarna je bekommerd om kennisgeving naar buiten toe.
 
Overigens, ik heb dat wel vaker aangegeven, en slechts weinigen blijken er ook daadwerkelijk iets mee te doen .....
 
Volgens velen binnen en buiten de politiek moeten we met zijn allen vooral de VS volgen is beroepsmatig opzicht. Iedereen lekker zzp. Al jaren ageer ik hier tegen omdat kennis doorgaans erg slecht blijkt te zijn geborgd en kwaliteit soms wel eens danig achter blijft op de ontwikkelingen die een organisatie nu eenmaal door kan maken.
 
Dit heeft nu eenmaal consequenties waar wij, zeker in de IT, want tenslotte gaat het daar over in dit onderwerp, moeten er op bedacht zijn dat we nog steeds te maken hebben met soms flinke hiaten die, door drang tot bezuinigen ingegeven, voor lief worden genomen, vaak met dit soort consequenties.
 
We kunnen natuurlijk heerlijk blijven afgeven tot St. k#ttemis maar misschien moeten eens gaan toegeven dat we zien en ervaren dat de operationele en keten kennis in rap tempo aan het afnemen is en dat de politiek, maar zeker ook de werkgevers en opdrachtgevers, danig bezig zijn dit te stimuleren.
 
Gebruik je de IT als sluitstuk op je begrotingen? Dan ben je als onderneming zelf de oorzaak dat cruciale kwaliteitsaspecten domweg worden losgelaten met dit soort zaken als resultaat. Niet opzienbarend, wel heel erg voorspelbaar en herkenbaar. We kunnen naar alles en iedereen wijzen maar ik denk dat een deel van de oplossing hem ligt in de kennis en kwaliteit die wij als IT specialisten, vooral de senior, professioneel met ons mee brengen naar de opdracht/projecten.
 
Ook hier blijken weer twee wetmatigheden gewoon weer op hun plaats.......
 
1. Never asume, always verify
2. If you pay peanuts, you'll get monkeys.
 
Zo simpel is het dan uiteindelijk ook weer....
20 vacatures
Systems Engineer

Travix Nederland B.V. , Amsterdam

Senior Systeembeheerder

De Bascule , Duivendrecht

Netwerk- Systeembeheer

Wazda-IT Solutions , Goor

Managed Services Engineer m/v / systeembeheerder

PK Automatisering , Assen

Senior Systeembeheerder

ORTEC bv , Zoetermeer

Top 10 Reagerende members
  Aantal reacties
met 3+ sterren
Gemiddelde
waardering
Klik voor meer info1 1572 6.2
Klik voor meer info2 1305 6.0
Klik voor meer info3 1271 6.2
Klik voor meer info4 1072 6.2
Klik voor meer info5 993 6.1
Klik voor meer info6 901 6.1
Klik voor meer info7 755 6.2
Klik voor meer info8 524 6.1
Klik voor meer info9 405 6.2
Klik voor meer info10 399 6.0