Alex
Több százezer magyart érinthet a LinkedIn feltörése
A LinkedIn portálon regisztrált 6.5 millió felhasználó ellopott jelszavai orosz weboldalakon, fórumokon jelentek meg. Valószínűleg a tulajdonosok e-mail címeivel is rendelkeznek.
A LinkedIn közösségi oldal leginkább az üzleti kapcsolatok fentartására szolgál, ebben különbözik a hétköznapi kapcsolattartást elősegítő Facebooktól vagy az iWiW-től. További fontos különbség, hogy a Facebook-on tetszőleges kitöltött vagy éppen üresen hagyott személyes mezőkkel rendelkezünk, illetve adatvédelmi beállításainktól függően publikusak adataink, ezzel szemben a LinkedIn profilok kifejezetten a karrierrel kapcsolatos hírek, szakmai tervek, információk terepe, ezen a felületen mindenki valódi névvel, valós információkat szolgáltat magáról, és üzleti kapcsolatairól.
A Zoomsphere legfrissebb adatai szerint Magyarországról legalább 230 ezren használják a LinkedIn közösségi weboldalt, számukra is erősen ajánlott ellenőrizni és megváltoztatni belépési adataikat. Gyakori forgatókönyv, hogy a megszerzett jelszó birtokában a támadók a tulajdonos minden ismert levelezési, közösségi oldali, és egyéb fiókját végigpróbálgatják, hátha azonos jelszóval használta, ezért a más helyen használt azonos jelszót is érdemes megváltoztatni.
Az ESET biztonsági cég szerint a weboldal üzemeltetői nem csak abban hibáztak, hogy a jelszólopási incidens egyáltalán megtörténhetett, hanem - mint később kiderült - a jelszavak kódolt tárolásánál is: az úgynevezett SHA-1 algoritmust szimplán használva nem támaszkodtak olyan megbízható kiegészítő technikákra, mint például a feltöréseknek jóval ellenállóbb úgynevezett Salted eljárás, amely segít megnövelni a jelszó hash hosszát, és egyúttal a bonyolultságát is. Ezt a módszert kimondottan jelszavak tárolásánál alkalmazzák, éppen annak megnehezítésére, hogy az összes felhasználó jelszavát túl könnyen és gyorsan feltörjék.
Cameron Camp, az ESET észak-amerikai központjának biztonsági kutatója szerint ennek az incidensnek a nyomán máris elindultak azok az átverési spamkampányok, amelyben a csalók látszólag a LinkedIn üzemeltetőinek nevében írnak levelet nekünk, hogy erősítsük meg egy mellékelt linkre kattintva az e-mail címünket. Ilyenkor nem szabad bedőlni, ne kattintson senki, hiszen a vizsgált levelek esetében az állítólagos hivatalos értesítő levélben nem a LinkedIn-re, hanem egy teljesen más, idegen webhelyre mutat a bizonyos link.
Az üzemeltetők egyébként az FBI segítségét kérték a biztonsági incidens alapos és részletes kivizsgáláshoz. Mindenesetre az eset komoly következményekkel járhat, így a LinkedIn-nek minden erőfeszítésére szükség lesz, hogy helyreállítsák befektetőik, hirdetőik, és nem utolsósorban felhasználóik beléjük vetett bizalmát.
A LinkedIn közösségi oldal leginkább az üzleti kapcsolatok fentartására szolgál, ebben különbözik a hétköznapi kapcsolattartást elősegítő Facebooktól vagy az iWiW-től. További fontos különbség, hogy a Facebook-on tetszőleges kitöltött vagy éppen üresen hagyott személyes mezőkkel rendelkezünk, illetve adatvédelmi beállításainktól függően publikusak adataink, ezzel szemben a LinkedIn profilok kifejezetten a karrierrel kapcsolatos hírek, szakmai tervek, információk terepe, ezen a felületen mindenki valódi névvel, valós információkat szolgáltat magáról, és üzleti kapcsolatairól.
A Zoomsphere legfrissebb adatai szerint Magyarországról legalább 230 ezren használják a LinkedIn közösségi weboldalt, számukra is erősen ajánlott ellenőrizni és megváltoztatni belépési adataikat. Gyakori forgatókönyv, hogy a megszerzett jelszó birtokában a támadók a tulajdonos minden ismert levelezési, közösségi oldali, és egyéb fiókját végigpróbálgatják, hátha azonos jelszóval használta, ezért a más helyen használt azonos jelszót is érdemes megváltoztatni.
Az ESET biztonsági cég szerint a weboldal üzemeltetői nem csak abban hibáztak, hogy a jelszólopási incidens egyáltalán megtörténhetett, hanem - mint később kiderült - a jelszavak kódolt tárolásánál is: az úgynevezett SHA-1 algoritmust szimplán használva nem támaszkodtak olyan megbízható kiegészítő technikákra, mint például a feltöréseknek jóval ellenállóbb úgynevezett Salted eljárás, amely segít megnövelni a jelszó hash hosszát, és egyúttal a bonyolultságát is. Ezt a módszert kimondottan jelszavak tárolásánál alkalmazzák, éppen annak megnehezítésére, hogy az összes felhasználó jelszavát túl könnyen és gyorsan feltörjék.
Cameron Camp, az ESET észak-amerikai központjának biztonsági kutatója szerint ennek az incidensnek a nyomán máris elindultak azok az átverési spamkampányok, amelyben a csalók látszólag a LinkedIn üzemeltetőinek nevében írnak levelet nekünk, hogy erősítsük meg egy mellékelt linkre kattintva az e-mail címünket. Ilyenkor nem szabad bedőlni, ne kattintson senki, hiszen a vizsgált levelek esetében az állítólagos hivatalos értesítő levélben nem a LinkedIn-re, hanem egy teljesen más, idegen webhelyre mutat a bizonyos link.
Az üzemeltetők egyébként az FBI segítségét kérték a biztonsági incidens alapos és részletes kivizsgáláshoz. Mindenesetre az eset komoly következményekkel járhat, így a LinkedIn-nek minden erőfeszítésére szükség lesz, hogy helyreállítsák befektetőik, hirdetőik, és nem utolsósorban felhasználóik beléjük vetett bizalmát.