Соцсеть LinkedIn сообщила о возможной утечке 6,5 млн паролей пользователей
6 июня 2012 года
Представители популярной социальной сети профессиональных знакомств LinkedIn предупредили пользователей о возможной утечке паролей от аккаунтов, сообщается в среду в записи официального микроблога сети LinkedIn на сервисе Twitter.
Один из пользователей российского форума Insidepro.com, специализирующегося на поиске способов по восстановлению паролей через хэш (закодированное значение пароля, которое хранится в базе данных сервиса), опубликовал во вторник архив, в котором содержится около 6,5 миллионов хэшей паролей, предположительно принадлежащих пользователям социальной сети LinkedIn. В среду вечером представители LinkedIn через официальный Twitter-блог соцсети заявили о возможном наличии угрозы для пользователей.
"Наши специалисты проверяют информацию о похищении паролей. Следите за обновлениями", - сообщается в записи Twitter-блога LinkedIn.
Новостной сайт The Verge со ссылкой на известного специалиста по информационной безопасности Микко Хиппонена из компании F-Secure, сообщил, что, скорее всего значительная часть хэшей, опубликованных хакером, действительно является хэшами паролей от аккаунтов LinkedIn. Эту же информацию подтвердил ряд пользователей LinkedIn, обнаруживших хэши своих паролей в опубликованной хакером базе.
Как объяснил Хиппонен, в опубликованной базе хранятся хэши паролей без "соли" (salt) - уникального ключа, затрудняющего получение пароля подбором. Хэши получены с помощью алгоритма шифрования SHA-1. Когда пользователь на сайте впервые вводит пароль, программа берет его и с помощью хэш-функции (математического метода вычисления) вычисляет числовое значение (хэш) этого пароля. Таким образом в базе данных вместе с именем пользователя хранится хэш, а не сам пароль: когда пользователь вводит пароль в следующий раз, система вновь вычисляет хэш, и если полученное значение совпадает с тем, что хранится в базе, пароль считается верным. Такая система повышает уровень безопасности, однако, поскольку алгоритм SHA-1 находится в открытом доступе, а дополнительный ключ шифрования в системе LinkedIn, судя по имеющимся данным, не применяется, зная алгоритм вычисления хэша, хакер может за относительно короткое время подобрать пароли, просто "пропуская" через хэш-функцию различные слова и комбинации букв и цифр и сравнивая получившиеся хэши с теми, что содержаться в базе.
На форуме Insidepro.com хакер под ником dwdm, который предположительно является похитителем базы хэшей, попросил других участников помочь с расшифровкой паролей. По состоянию на 19.00 среды еще шесть пользователей форума, согласившихся ему помочь, сообщили о том, что им удалось расшифровать часть хэшей и получить пароли. Один из хакеров заявил, что ему удалось взломать 236,5 тысячи паролей.
Также в среду группа независимых экспертов по информационной безопасности сообщила, что приложение LinkedIn для iPhone собирает данные из календаря и контактной книги пользователя. В компании сообщают, что это задекларированная функция приложения, однако эксперты утверждают, что она может противоречить законодательству о персональных данных, действующему во многих странах.
LinkedIn - одна из самых популярных в мире социальных сетей для профессиональных знакомств. По данным на февраль текущего года, количество пользователей этой сети превысило 150 миллионов.