donderdag 7 juni 2012

LinkedIn ernstig in de fout

disclaimer: Deze post is snel gepost omwille van actualiteit. Daarnaast wees Jacques Schuurman me erop dat “hashen” en versleutelen twee verschillende dingen zijn. Ik gebruik versleutelen om aan te geven dat het wachtwoord niet herkenbaar is opgeslagen.

Zoals je wellicht gelezen hebt kun je een bestand downloaden met meer dan 6 miljoen LinkedIn wachtwoorden. Versleuteld weliswaar, maar relatief zwak versleuteld en zonder gebruik te maken van “salt”. Twee mensen met hetzelfde wachtwoord zullen dan ook maar  één keer in het bestand voorkomen.

Dit nieuws stinkt aan alle kanten en ik ben zeer teleurgesteld in LinkedIn. Laat me een paar gedachten met je delen:
Mijn wachtwoord stond in de lijst. Er komen geen dubbele records in de lijst voor. Aangezien niet iedereen een uniek wachtwoord heeft is de lijst van 6 miljoen wachtwoorden dus voor (veel) meer dan 6 miljoen gebruikers! Deze gedachte is niet uniek, op http://it.slashdot.org/comments.pl?sid=2898871&cid=40232643 lees je er meer over.

Het bestand is “oud”. Dit betekent dat de accounts al lang geleden gekraakt zijn. Er zit een zwakte in de LinkedIn App dat wachtwoorden te onderscheppen zijn. Ik gebruik de LinkedIn app niet en mijn wachtwoord zit er ook tussen, mijn wachtwoord is dus niet op die manier gevonden. De database van LinkedIn is gewoon gekraakt.

Dit is natuurlijk erg, maar LinkedIn speelt mooi weer en geef wel wat toe maar laat het overkomen alsof het niet ernstig is. Dit is *zeer* ernstig omdat A) hun database gehackt is B) wachtwoorden zwak versleuteld zijn. Voor een miljarden bedrijf die op de beurs handelt is dit een doodzonde. Vooral omdat het wat zwaarder versleutelen een eitje is. Iets wat LinkedIn binnen 24 uur nu ook heeft doorgevoerd!

Als zo’n bedrijf al zo sloppy met veiligheid omgaat, dan belooft dit niet veel goeds. Nu denken veel mensen vast; “Lekker boeiend er staat toch niets belangrijks in”. Maar met jouw account hebben ze ook jouw e-mail adres en jouw gebruikersnaam. Deze combinaties gaan geautomatiseerd uitgeprobeerd worden op andere sites om met jouw gegevens ergens anders in te loggen. Veel mensen gebruiken vaker eenzelfde wachtwoord. En dat kan leiden tot iets groters dan je LinkedIn gegevens.

Er zijn twee zaken die je goed moet beschermen met variabele sterke wachtwoorden:

1) Toegang tot email
2) Toegang tot zaken die te maken hebben met geld

Stel je e-mail account is gehackt en je bent een gebruiker van Pay-Pal. Bij Pay-Pal geeft de dief aan zijn wachtwoord vergeten te zijn, die wordt verstuurd naar je e-mail. Dit mailtje wordt direct verwijderd door de hacker en nu logt hij in op je Pay-Pal account en wijzigt daar het e-mail adres naar een “eigen” e-mail adres. Vanaf dat moment kan er geld gestolen worden van je rekening en duurt het een tijdje voordat je dat door hebt. Dit is slechts één voorbeeld.

Wil je kijken of jouw wachtwoord bij LinkedIn ook gekraakt is?

Ik heb het bestand met de hashes (versleutelde) wachtwoord gedownload (kijk voor links op http://tweakers.net/nieuws/82411/wachtwoorden-miljoenen-linkedin-gebruikers-op-straat.html) en gekeken of mijn wachtwoord erbij zit. Dit was zo. Met deze link: https://oisyn.nl/converter/#dGVzdA==;u8;sha1;0 kun je een wachtwoord vertalen naar het versleutelde wachtwoord. Het bestand bevat veel regels die met vijf nullen beginnen. Dit zijn wachtwoorden die al zijn gekraakt. Door de eerste vijf tekens van jouw wachtwoord te wijzigen in 00000 en dit in het bestand te zoeken geeft aan of jouw wachtwoord er tussen staat. 

Samenvattend:

1) LinkedIn is lang geleden gehackt en de hacker had toegang tot de database
2) LinkedIn heeft wachtwoorden slecht versleuteld
3) LinkedIn wist niets van de hack
4) LinkedIn bagataliseert de zaak
5) Grote bedrijven doen niet zomaar goed aan beveiliging
6) LinkedIn geen clue heeft en dus ook geen controle

* Diverse updates in de tekst:
** Handige site om snel uit te zoeken of jouw wachtwoord ook bemachtigt is:  http://leakedin.org/