L’hacker russo che ha portato l’attacco potrebbe essere in possesso anche degli username
LinkedIn, dopo lo scandalo della trasmissione di informazioni riguardanti il calendario dell’utente ai suoi server solo per la versione iOS, ora si lascia sfuggire le password degli utenti. Un blogger di un forum in Russia ha affermato di aver hackerato il social network lavorativo, postando come prova 6,458,020 di password crittate (senza relativi username).
Le password sono state criptate con l’algoritmo crittografico SHA-1 di hash, usato in SSL e TLS e considerato relativamente sicuro. Sfortunatamente, sembra che le password siano immagazzinate con funzioni hash senza salt, che permette di decriptare più facilmente usando tabelle pre-computed rainbow.
In poche parole un hacker potrebbe crackare un elevato numero di password con poche risorse e in tempi brevi. La veridicità del furto è stata, in pratica, confermata da LinkedIn stesso che ha twittato:
“Our team is currently looking into reports of stolen passwords. Stay tuned for more”.— LinkedIn (@LinkedIn) June 6, 2012
L’agenzia di sicurezza CERT-FI che ha lanciato l’allarme sull’incidente ha inoltre dichiarato che chi è riuscito in questa impresa è in possesso anche degli username. Anche se la violazione interessa “meno” del 10% dell’utenza, sono circa 150 milioni in totale.
Se avete un account LinkedIn cambiate ORA la password. Allo stesso modo se usate la medesima password per altri servizi online è preferibile cambiarla anche per questi.
L’ultimo tweet di LinkedIn non lascia ben sperare: “Our team continues to investigate, but at this time, we’re still unable to confirm that any security breach has occurred. Stay tuned here”.— LinkedIn (@LinkedIn) June 6, 2012
