На одной из популярных торговых площадок «теневого интернета» The Real Deal появилось предложение о продаже 167 миллионов пользовательских аккаунтов социальной сети LinkedIn. Из них 117 миллионов имеют хэшированные пароли, которые, тем не менее, не слишком сложно взломать. В последний раз, когда LinkedIn обнародовала информацию о своей работе, она сообщала, что всего в базе зарегистрировано 433 миллиона пользователей.
База содержит идентификатор пользователя, email и хэш пароля. Хакер просит за эту базу всего 5 BTC (порядка $2270) и обещает подтвердить подлинность, поискав по запросу в базе нужный e-mail. Специалисты по безопасности, изучающие базу, подтверждают её подлинность, и указывают, что эта информация утекла с сайта LinkedIn в 2012 году. Тогдашняя громадная утечка привела к появлению в общем доступе 6,5 миллионов учётных записей. Однако тогда социальная сеть не подтвердила утечку, не сообщила, сколько пользователей она затронула, упорно хранила молчание, в связи с чем эту историю успешно забыли.
Специалисты предупреждают, что хэши от паролей – это SHA1 без «соли», в связи с чем их подбор на современном оборудовании представляется вполне возможным. Сайт LeakedSource, обладающий в числе прочих и этой утёкшей базой, предлагает всем желающим поискать своё имя пользователя или свой электронный адрес в базах (содержащих более миллиарда записей). Но в любом случае, пользователям с 2012 года стоит поменять свой пароль, а уж после сообщений об утечках – тем более.
Сейчас сеть выпустила заявление, в котором заверяет пользователей, что с того времени усилила меры безопасностей, ввела соль для хэшей и двухфакторную аутентификацию, которую рекомендует использовать в целях безопасности всем пользователям.
Источник: Geektimes