Oude LinkedIn-hack blijkt niet 6,5 maar 117 miljoen wachtwoorden buit te maken
Op hun blog meldt LinkedIn dat ze eerder deze week ontdekten hoe nooit eerder geziene e-mailadressen en wachtwoorden van diezelfde hack online te koop werden aangeboden. “We zullen onmiddellijke stappen ondernemen om de wachtwoorden van de getroffen accounts ongeldig te maken en die leden contacteren om hun wachtwoord te veranderen.” Het bedrijf heeft inmiddels geëist dat de gegevens offline worden gehaald. Indien dat niet gebeurt, zal overgegaan worden tot legale acties.
Motherboard meldt dat de gegevens online worden aangeboden voor 5 bitcoin, wat overeenkomt met zo’n 2.000 euro. Na controle van de online database kon LinkedIn niet anders dan te bevestigen dat het inderdaad om legitieme gegevens van hun gebruikers ging. Hoeveel van die accounts op dit moment actieve gebruikers zijn, wordt nog onderzocht.
De gestolen wachtwoorden waren gemakkelijk te kraken, omdat ze enkel beveiligd waren met SHA1: een algoritme dat al lang niet meer als veilig wordt beschouwd. Bovendien was het gros van de gegevens zonder veel moeite te raden. Blogger Brian Krebs liet weten dat het meest voorkomende wachtwoord ‘123456’ bleek te zijn, gevolgd door ‘linkedin’ en ‘password’.
Net na de aanval in 2012 raadde LinkedIn hun leden al aan om massaal hun wachtwoord te veranderen, maar verplichtte dat enkel voor de 6,5 miljoen accounts wiens gegevens gestolen werden. Dat betekent dat de leden die sinds 2012 actief zijn en na het voorval hun gegevens niet aanpasten nu het meeste gevaar lopen. LinkedIn herhaalt nu dezelfde praktijk: alleen de accounts die voorkomen in de database worden expliciet gevraagd om hun wachtwoord te veranderen. In de blogpost voegt het netwerk wel toe dat het geregeld wisselen van wachtwoorden voor iedereen een goed idee is.
