Hakerzy opublikowali listę 6.5-miliona niesolonych haszy SHA-1 haseł ukradzionych z LinkedIn

7 czerwiec 2012

LinkedIn potwierdził, że na rosyjskiej stronie WWW opublikowana została lista zahaszowanych metodą SHA-1 haseł użytkowników portalu. Hasła nie były solone a serwis już wyrzucił skradzione hasła i teraz wysyła wiadomości do użytkowników, by Ci stworzyli nowe.

Choć hasła serwisu były zaszyfrowane to jednak metoda SHA-1 po raz pierwszy została złamana w 2004 roku i wielokrotnie łamana na przestrzeni kolejnych lat. W roku 2010 National Institute of Standards and Technology ogłosił, iż zaprzestaje stosowania SHA-1 na rzecz powstałego w 2001 roku SHA-2 co w praktyce oznacza, iż metoda ta nie jest już uważana za bezpieczną.

Największym błędem było natomiast niesolenie haszy. Niesolone hasze można wyprodukować z pomocą tęczowych tablic i poszukać ich na opublikowanej liście. Solenie (dodanie losowego ciągu znaków) bardzo utrudnia pracę z tęczowymi tablicami.

Firma przeprosiła użytkowników za włamanie i wydała oświadczenie:

It is worth noting that the affected members who update their passwords and members whose passwords have not been compromised benefit from the enhanced security we just recently put in place, which includes hashing and salting of our current password databases

P.S. Strona portalu randkowego eHarmony prawdopodobnie została złamana przez tych samych cyberprzestępców. Serwis również zresetował hasła użytkowników.

Źródło: http://www.theregister.co.uk/2012/06/07/linkedin_admits_data_breach/

Oryginał: http://www.theregister.co.uk/2012/06/06/linkedin_password_leak/

Bartłomiej Małysz

,

---

Komentarze

Komentowanie zakończone dla tego artykułu

---