LinkedIn сообщила об утечке 6,5 млн паролей пользователей

www.macdigger.ru

Почти шесть с половиной миллионов паролей пользователей социальной сети LinkedIn оказались опубликованы на одном файлообменных сайтов в рунете. В своем корпоративном блоге компания предупредила участников сервиса, что часть паролей к аккаунтам оказалась «подвергнутой риску».

Один из пользователей российского форума Insidepro.com, специализирующегося на поиске способов по восстановлению паролей через хэш, опубликовал во вторник архив, в котором содержится около 6,5 миллионов хэшей паролей, принадлежащих пользователям социальной сети LinkedIn. В среду вечером представители LinkedIn через официальный Twitter-блог соцсети заявили о возможном наличии угрозы для пользователей.

По словам специалиста в области информационной безопасности Микко Хиппонена из компании F-Secure, скорее всего значительная часть хэшей, опубликованных хакером, действительно является хэшами паролей от аккаунтов LinkedIn.

Как объяснил Хиппонен, в опубликованной базе хранятся хэши паролей без «соли» (salt) – уникального ключа, затрудняющего получение пароля подбором. Хэши получены с помощью алгоритма шифрования SHA-1. Когда пользователь на сайте впервые вводит пароль, программа берет его и с помощью хэш-функции (математического метода вычисления) вычисляет числовое значение (хэш) этого пароля. Таким образом в базе данных вместе с именем пользователя хранится хэш, а не сам пароль: когда пользователь вводит пароль в следующий раз, система вновь вычисляет хэш, и если полученное значение совпадает с тем, что хранится в базе, пароль считается верным. Такая система повышает уровень безопасности, однако, поскольку алгоритм SHA-1 находится в открытом доступе, а дополнительный ключ шифрования в системе LinkedIn, судя по имеющимся данным, не применяется, зная алгоритм вычисления хэша, хакер может за относительно короткое время подобрать пароли, просто «пропуская» через хэш-функцию различные слова и комбинации букв и цифр и сравнивая получившиеся хэши с теми, что содержаться в базе.

На форуме Insidepro.com хакер под ником dwdm, который предположительно является похитителем базы хэшей, попросил других участников помочь с расшифровкой паролей. По состоянию на 19.00 среды еще шесть пользователей форума, согласившихся ему помочь, сообщили о том, что им удалось расшифровать часть хэшей и получить пароли. Один из хакеров заявил, что ему удалось взломать 236 500 паролей.

Сегодня утром представители LinkedIn сообщили о том, что ими была произведена деактивация паролей к аккаунтам, которые могли попасть в руки хакеров в результате утечки. Компания выслала их владельцам инструкции по восстановлению доступа к персональной учетной записи.

Стоит отметить, что накануне группа независимых экспертов по информационной безопасности сообщила, что приложение LinkedIn для iPhone собирает данные из календаря и контактной книги пользователя. В компании сообщают, что это задекларированная функция приложения, однако эксперты утверждают, что она может противоречить законодательству о персональных данных, действующему во многих странах.

поделиться

Новости по теме

    iOS позволяет легко взломать точку доступа Wi-Fi

    Эксперты нашли содержимое эталонных слов, используемых iOS для генерации случайных паролей. Компания Apple утверждала, что генератор случайных паролей повышает защищенность пользователей, но оказалось, что на деле это совсем не так.подробности

Новости партнёров