Несколько дней назад российский хакер опубликовал на одном из форумов сообщение о том, что ему удалось обойти систему безопасности профессиональной социальной сети LinkedIn и скопировать базу из 6,5 миллионов паролей ее пользователей.
В качестве доказательства он опубликовал файл (271 Mb), в котором содержались хэши паролей пользователей социальной сети. Спустя некоторое время на форуме стали появляться сообщения о том, что 300000 из них уже расшифровано.
Достоверность опубликованной информации подтвердили сами пользователи, сообщив в своих твиттерах о том, что их пароли присутствуют среди скомпрометированных.
Пароли были зашифрованы при помощи криптографической хеш-функции SHA-1. По мнению специалистов в области безопасности данный алгоритм шифрования является достаточно надежным, и расшифровать его довольно сложная задача, но в случае использования простых комбинаций гарантий никаких нет.
Сегодня администрация социальной сети опубликовала через твиттер официальное обращение к пользователям: «Наша команда на данный момент работает над отчетами об украденных паролях. Оставайтесь на связи».
Несмотря на то, что в файле нет ни адресов электронной почты, ни логинов, ни иной другой конфиденциальной информации, которая могла бы помочь ассоциировать пароли с конкретными пользователями, специалисты настоятельно рекомендуют сменить пароли как можно скорей.
Напомним, что недавно LinkedIn обвиняли в том, что ее версия для операционной системы iOS имеет несанкционированный доступ к адресной книге пользователя и передает некоторые данные из нее на серверы компании без ведома пользователей.
Николай Федотов, главный аналитик InfoWatch считает, что сам факт не слишком взволновал айтишную общественность, хотя новость о ней разлетелась мгновенно. Специалисты знают, что монетизировать линкединовский аккаунт невозможно, соответственно, на чёрном рынке этот товар не купят. Поэтому айтишники нынче ночью не торопились бежать и менять свои пароли, а скачивали себе утекшую базу, рассматривали её, пробовали брутфорс и перебор по словарям, степенно обсуждали стойкость хешей и возможности их массового обращения.
«Наибольшее возмущение общественности вызвал тот факт, - продолжает Федотов. - Что пароли этой "соцсети профессионалов" хешировались не профессионально - т.е. без использования соли (добавки к хешируемому значению). С солью обратить хеш-функцию было бы немного труднее. А ресурсов это почти не занимает.
Данное упущение, согласно общему мнению, не делает чести разработчикам системы, Скорее всего, что и инцидент произошел из-за подобной недоработки, а не в результате направленных или неосторожных действий сотрудников соцсети. Для нас, разработчиков DLP-систем, это разница принципиальна».