LinkedIn сообщила об утечке 6,5 млн паролей пользователей
Почти шесть с половиной миллионов паролей пользователей социальной сети LinkedIn оказались опубликованы на одном файлообменных сайтов в рунете. В своем корпоративном блоге компания предупредила участников сервиса, что часть паролей к аккаунтам оказалась «подвергнутой риску».
Один из пользователей российского форума Insidepro.com, специализирующегося на поиске способов по восстановлению паролей через хэш, опубликовал во вторник архив, в котором содержится около 6,5 миллионов хэшей паролей, принадлежащих пользователям социальной сети LinkedIn. В среду вечером представители LinkedIn через официальный Twitter-блог соцсети заявили о возможном наличии угрозы для пользователей.
По словам специалиста в области информационной безопасности Микко Хиппонена из компании F-Secure, скорее всего значительная часть хэшей, опубликованных хакером, действительно является хэшами паролей от аккаунтов LinkedIn.
Как объяснил Хиппонен, в опубликованной базе хранятся хэши паролей без «соли» (salt) – уникального ключа, затрудняющего получение пароля подбором. Хэши получены с помощью алгоритма шифрования SHA-1. Когда пользователь на сайте впервые вводит пароль, программа берет его и с помощью хэш-функции (математического метода вычисления) вычисляет числовое значение (хэш) этого пароля. Таким образом в базе данных вместе с именем пользователя хранится хэш, а не сам пароль: когда пользователь вводит пароль в следующий раз, система вновь вычисляет хэш, и если полученное значение совпадает с тем, что хранится в базе, пароль считается верным. Такая система повышает уровень безопасности, однако, поскольку алгоритм SHA-1 находится в открытом доступе, а дополнительный ключ шифрования в системе LinkedIn, судя по имеющимся данным, не применяется, зная алгоритм вычисления хэша, хакер может за относительно короткое время подобрать пароли, просто «пропуская» через хэш-функцию различные слова и комбинации букв и цифр и сравнивая получившиеся хэши с теми, что содержаться в базе.
На форуме Insidepro.com хакер под ником dwdm, который предположительно является похитителем базы хэшей, попросил других участников помочь с расшифровкой паролей. По состоянию на 19.00 среды еще шесть пользователей форума, согласившихся ему помочь, сообщили о том, что им удалось расшифровать часть хэшей и получить пароли. Один из хакеров заявил, что ему удалось взломать 236 500 паролей.
Сегодня утром представители LinkedIn сообщили о том, что ими была произведена деактивация паролей к аккаунтам, которые могли попасть в руки хакеров в результате утечки. Компания выслала их владельцам инструкции по восстановлению доступа к персональной учетной записи.
Стоит отметить, что накануне группа независимых экспертов по информационной безопасности сообщила, что приложение LinkedIn для iPhone собирает данные из календаря и контактной книги пользователя. В компании сообщают, что это задекларированная функция приложения, однако эксперты утверждают, что она может противоречить законодательству о персональных данных, действующему во многих странах.
Один из пользователей российского форума Insidepro.com, специализирующегося на поиске способов по восстановлению паролей через хэш, опубликовал во вторник архив, в котором содержится около 6,5 миллионов хэшей паролей, принадлежащих пользователям социальной сети LinkedIn. В среду вечером представители LinkedIn через официальный Twitter-блог соцсети заявили о возможном наличии угрозы для пользователей.
По словам специалиста в области информационной безопасности Микко Хиппонена из компании F-Secure, скорее всего значительная часть хэшей, опубликованных хакером, действительно является хэшами паролей от аккаунтов LinkedIn.
Как объяснил Хиппонен, в опубликованной базе хранятся хэши паролей без «соли» (salt) – уникального ключа, затрудняющего получение пароля подбором. Хэши получены с помощью алгоритма шифрования SHA-1. Когда пользователь на сайте впервые вводит пароль, программа берет его и с помощью хэш-функции (математического метода вычисления) вычисляет числовое значение (хэш) этого пароля. Таким образом в базе данных вместе с именем пользователя хранится хэш, а не сам пароль: когда пользователь вводит пароль в следующий раз, система вновь вычисляет хэш, и если полученное значение совпадает с тем, что хранится в базе, пароль считается верным. Такая система повышает уровень безопасности, однако, поскольку алгоритм SHA-1 находится в открытом доступе, а дополнительный ключ шифрования в системе LinkedIn, судя по имеющимся данным, не применяется, зная алгоритм вычисления хэша, хакер может за относительно короткое время подобрать пароли, просто «пропуская» через хэш-функцию различные слова и комбинации букв и цифр и сравнивая получившиеся хэши с теми, что содержаться в базе.
На форуме Insidepro.com хакер под ником dwdm, который предположительно является похитителем базы хэшей, попросил других участников помочь с расшифровкой паролей. По состоянию на 19.00 среды еще шесть пользователей форума, согласившихся ему помочь, сообщили о том, что им удалось расшифровать часть хэшей и получить пароли. Один из хакеров заявил, что ему удалось взломать 236 500 паролей.
Сегодня утром представители LinkedIn сообщили о том, что ими была произведена деактивация паролей к аккаунтам, которые могли попасть в руки хакеров в результате утечки. Компания выслала их владельцам инструкции по восстановлению доступа к персональной учетной записи.
Стоит отметить, что накануне группа независимых экспертов по информационной безопасности сообщила, что приложение LinkedIn для iPhone собирает данные из календаря и контактной книги пользователя. В компании сообщают, что это задекларированная функция приложения, однако эксперты утверждают, что она может противоречить законодательству о персональных данных, действующему во многих странах.