LinkedIn gaat ernstig in de fout

08-06-2012 10:02 | Door Henri Koppen | Lees meer artikelen over: Authenticatie, Social media | Lees meer over het bedrijf: LinkedIn | Er zijn 12 reacties op dit artikel | Dit artikel heeft nog geen cijfer (te weinig beoordelingen) | Permalink
Computable Expert
Henri Koppen
Henri Koppen

Cloud Computing Consultant

Expert van Computable voor de topics: Cloud Computing en BPM

Meer

Zoals je wellicht gelezen hebt kun je een bestand downloaden met meer dan zes miljoen LinkedIn-wachtwoorden. Versleuteld weliswaar, maar relatief zwak versleuteld en zonder gebruik te maken van 'salt'. Twee mensen met hetzelfde wachtwoord zullen dan ook maar één keer in het bestand voorkomen. Dit nieuws stinkt aan alle kanten en ik ben zeer teleurgesteld in LinkedIn. Laat me een paar gedachten met je delen.

Mijn wachtwoord stond in de lijst. Er komen geen dubbele records in de lijst voor. Aangezien niet iedereen een uniek wachtwoord heeft is de lijst van zes miljoen wachtwoorden dus voor (veel) meer dan zes miljoen gebruikers! Deze gedachte is niet uniek, op http://it.slashdot.org/comments.pl?sid=2898871&cid=40232643 lees je er meer over.

Het bestand is 'oud'. Dit betekent dat de accounts al lang geleden gekraakt zijn. Er zit een zwakte in de LinkedIn-app dat wachtwoorden te onderscheppen zijn. Ik gebruik de LinkedIn-app niet en mijn wachtwoord zit er ook tussen, mijn wachtwoord is dus niet op die manier gevonden. De database van LinkedIn is gewoon gekraakt.

Dit is natuurlijk erg, maar LinkedIn speelt mooi weer en geef wel wat toe, maar laat het overkomen alsof het niet ernstig is. Dit is *zeer* ernstig omdat A) hun database gehackt is en B) wachtwoorden zwak versleuteld zijn. Voor een miljarden bedrijf die op de beurs handelt is dit een doodzonde. Vooral omdat het wat zwaarder versleutelen een eitje is. Iets wat LinkedIn binnen 24 uur nu ook heeft doorgevoerd!

Als zo’n bedrijf al zo sloppy met veiligheid omgaat, dan belooft dit niet veel goeds. Nu denken veel mensen vast 'Lekker boeiend er staat toch niets belangrijks in'. Maar met jouw account hebben ze ook jouw e-mailadres en jouw gebruikersnaam. Deze combinaties gaan geautomatiseerd uitgeprobeerd worden op andere sites om met jouw gegevens ergens anders in te loggen. Veel mensen gebruiken vaker eenzelfde wachtwoord. En dat kan leiden tot iets groters dan je LinkedIn-gegevens.

Er zijn twee zaken die je goed moet beschermen met variabele, sterke wachtwoorden:

1) Toegang tot e-mail
2) Toegang tot zaken die te maken hebben met geld

Stel je e-mailaccount is gehackt en je bent een gebruiker van Pay-Pal. Bij Pay-Pal geeft de dief aan zijn wachtwoord vergeten te zijn, die wordt verstuurd naar je e-mail. Dit mailtje wordt direct verwijderd door de hacker en nu logt hij in op je Pay-Pal-account en wijzigt daar het e-mailadres naar een 'eigen' e-mailadres. Vanaf dat moment kan er geld gestolen worden van je rekening en duurt het een tijdje voordat je dat door hebt. Dit is slechts één voorbeeld.

Wil je kijken of jouw wachtwoord bij LinkedIn ook gekraakt is? Ik heb het bestand met de hashes (versleutelde) wachtwoord gedownload (kijk voor links op http://tweakers.net/nieuws/82411/wachtwoorden-miljoenen-linkedin-gebruikers-op-straat.html) en gekeken of mijn wachtwoord erbij zit. Dit was zo. Met deze link: https://oisyn.nl/converter/#dGVzdA==;u8;sha1;0 kun je een wachtwoord vertalen naar het versleutelde wachtwoord. Het bestand bevat veel regels die met vijf nullen beginnen. Dit zijn wachtwoorden die al zijn gekraakt. Door de eerste vijf tekens van jouw wachtwoord te wijzigen in 00000 en dit in het bestand te zoeken geeft aan of jouw wachtwoord er tussen staat.

Samenvattend:
1) LinkedIn is lang geleden gehackt en de hacker had toegang tot de database
2) LinkedIn heeft wachtwoorden slecht versleuteld
3) LinkedIn wist niets van de hack
4) LinkedIn bagataliseert de zaak
5) Grote bedrijven doen niet zomaar goed aan beveiliging

Deel dit artikel via LinkedIn
Deel dit artikel via Facebook
Deel dit artikel via Twitter

11 vacatures
Systeembeheerder Windows en Linux

Rijksinstituut voor Volksgezondheid en Milieu (RIVM) , Bilthoven

Junior systeembeheerder (en tester)

DataQuint B.V. , Capelle aan den IJssel

senior systeembeheerder (38 uur per week)

St. Fundeon , Harderwijk

Linux Systeembeheerder

Net Ground B.V. , Nootdorp

Systeembeheerder Windows/ Citrix

T2 automatiseringsdiensten BV , Driebergen-Rijsenburg

Top 10 reagerende bezoekers
   Aantal
reacties
Gemiddelde
waardering
Klik voor meer info1 1881 6,9
Klik voor meer info2 1423 6,6
Klik voor meer info3 1358 6,4
Klik voor meer info4 1163 6,6
Klik voor meer info5 1105 6,5
Klik voor meer info6 1038 5,9
Klik voor meer info7 845 6,7
Klik voor meer info8 637 5,9
Klik voor meer info9 509 6,3
Klik voor meer info10 437 5,9