6.5 מיליון סיסמאות של Linkedin נגנבו והופצו ברשת

סיסמאות של כ-4% ממשתמשי הרשת החברתית המקצועית לינקד-אין נחשפו בפורום פורצים

מקור: יח"צ

בפורום פורצי מחשבים התרברב אחד מהם, כי הצליח להשיג את הסיסמאות של 6.5 מיליון משתמשי הרשת החברתית המקצועית LinkedIn. כדי לאשר את דבריו, הוא פרסם את הרשימה, וביקש את עזרת הגולשים בפענוח הסיסמאות, שחלקן נחשף כשהוא מעורבל (hashed).

גם רשת מקצועית נפרצת

משתמשי Linkedin מתעוררים הבוקר לאחד מהסיוטים של כל משתמש רשת חברתית. ברשת מנויים היום מעל 161 מיליון משתמשים מרחבי העולם, המשתמשים ברשת כדי לשמור על קשרים מקצועיים ועסקיים עם חברים ואנשים שיוצא להם לפגוש במסגרת עבודותיהם. עבור כ-4% מהם, מדובר בבוקר מדאיג.

הסיסמאות שפורסמו בפורום הפומבי, התגלו כשהן מעורבלות באמצעות פרוטוקול SHA-1. למרות זאת, כבר דווח כי התוקפים הצליחו לחשוף חלק מהסיסמאות, למרות הערבול, תוך שהם קוראים ליתר קוראי הפורום לעזור להם למצוא דרכים להתגבר על הערבול של יתר הסיסמאות.

החברה פרסמה בבלוג הרשמי שלה מספר הודעות בנושא, המאשרות את דבר הפירצה ומנחות את המשתמשים בשלב הראשון לשנות את הסיסמאות שלהם, כפעולה מקדימה למצב שמשהו חשף את הסיסמא שלהם. כפעולה מקדימה, החברה ניטרלה את הסיסמאות של משתמשים שזוהו בוודאות מתוך הרשימות שפורסמו. אותם משתמשים יקבלו לתיבת הדואר האלקטרוני שלהם הודעה מהאתר, הכוללת הנחיות כיצד עליהם לגשת לחשבון שלהם ולייצר סיסמא חדשה לחשבון שלהם.

החקירה נמשכת

לזכותה של LinkedIn יאמר, כי החברה החלה לאחרונה לערבל את מאגרי המידע שלה המכילים את פרטי שמות המשתמש והסיסמאות של חברי הרשת. עובדה זו מקשה על פורץ לעשות שימוש בסיסמאות, גם לאחר שהצליח להשיג עותק שלהן. בחלון הזמנים שבין חשיפת המידע ועד שפורצים יצליחו לפענח את הסיסמאות יכולה החברה להזהיר את לקוחותיה, ובאותה העת לנקוט בפעולות הגנתיות נוספות משל עצמה.

כיום, פעולות hashing ו-salting למאגרי מידע, ובמיוחד כאלה המכילים שמות משתמש וסיסמאות, הפכו לסטנדרט הנדרש מחברות המפעילות מאגרי מידע כאלה. חברות שבוחרות שלא לנקוט בצעדים אלה עשויות למצוא את עצמן חשופות ברגע האמת, ואיתן גם המשתמשים שלהן.

מ-LinkedIn נמסר כי הם חוקרים את המקור לפריצה, שאיפשר לתוקפים להשיג את הסיסמאות של המשתמשים. בינתיים, החברה פרסמה רשימת הנחיות למשתמשים, כיצד עליהם להתנהג ואיך לבחור את הסיסמא האופטימלית עבור השירות שלהם. עד שיתברר כיצד בוצעה התקיפה, ובכלל, אנחנו מזכירים לכם את אחד מכללי הזהב בהתנהלות עם הסיסמאות שלכם לאתרים הווירטואליים השונים, והוא לא להשתמש באותה סיסמא ביותר מאתר אחד. הסיבה לכך היא שאם מסיבה כלשהי הסיסמא שלכם מתגלה, היא חושפת את כל השירותים שבהם אתם משתמשים.

עדכון: מאז פרסום הכתבה התפרסם מידע נוסף, ממנו עולה, שלמרות ההצהרות של החברה, כנראה שמאגר המידע שהיה בידי החברה ובו היא אחסנה את הסיסמאות לא היה “salted” כנדרש. בעקבות כך הצליחו גורמים שונים לפענח לפחות 2 מיליון סיסמאות מתוך ה-6.5 שנגנבו, אם לא הרבה מעבר לכך. הפרשה ממשיכה להתפתח וכנראה שעוד צפויים לנו גילויים נוספים לגביה בהמשך.

וידאו: LinkedIn, רשת הקשרים המקצועיים

נדב דופמן-גור

עו"ד העוסק בתחומי דיני הטכנולוגיה, דיני פרטיות וקניין רוחני. מרצה ומנטור לסטארטאפים, ובעל ניסיון רב-שנים בפיתוח ווב (http://about.me/nadavdg).

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: