Анонимный пользователь под ником dwdm на форуме по подбору хэшей forum.insidepro.com сообщил о взломанной базе хэшей паролей. В ней находится примерно 6,5 млн паролей учетных записей пользователей социальной сети LinkedIn.
В базе находится около 6 458 020 миллионов SHA1 хэшей паролей (зашифрованное значение пароля) без уникальных ключей. Ссылка, по которой была опубликована база, уже не работает. Некоторые пользователи узнали хэши своих паролей в этой базе, так что лучше сегодня поменять свой пароль в соцсети, говорят независимые эксперты. «Наша команда на данный момент работает над отчетами об украденных паролях. Оставайтесь на связи», — сообщается в официальном твиттере соцсети LinkedIn.
Многие пользователи подтвердили, что хэш от их пароля LinkedIn находится в этой базе. Используя базу, хакер может без особых усилий и довольно быстро дешифровать любой пароль оттуда.
Независимые специалисты говорят, что сам по себе алгоритм шифрования SHA1 достаточно надежен и сложные пароли по нему вычислить на практике почти нереально, а вот простые словарные пароли, которых у пользователей подавляющее большинство, можно. В антивирусной копании Sophos рекомендуют пользователям как можно скорее заменить свои пароли для LinkedIn, так как пока неизвестно, есть ли именно их пароль в базе. Кроме того, в Sophos критикуют LinkedIn за то, что программное обеспечение соцсети не "подсаливало" хеши паролей, то есть не добавляло к ним специальной комбинации, которая бы затрудняла дешифровку паролей для хакеров, но легитимной системой "лишние" данные просто бы убирались.
Отметим, что сегодняшняя информация об утечке данных следует за недавними обвинениями LinkedIn в том, что iOS-версия ее приложения несанкционированно залезает к адресную книгу пользователя и передает некоторые данные из нее на серверы компании без ведома пользователей. На сегодня в LinkedIn уже дали объяснения по этому поводу.
По словам представителей LinkedIn, их приложение обращалось в адресную книгу смартфона, с тем, чтобы синхронизировать информацию о планах и текущих встречах пользователей и предоставить эту информацию в удобной версии на страницах соцсети. Кроме того, в LinkedIn говорят, что приложение передавало информацию по защищенным при помощи SSL каналам связи.
Источник: CyberSecurity
|
