Veel LinkedIn-gebruikers zullen ondertussen een mail hebben ontvangen van het zakelijke netwerk. In het bericht reageert LinkedIn op het incident van vorige week, wanneer bleek dat 17,7 miljoen wachtwoorden ontfutseld waren.

Advertentie

 
Inmiddels dateert de hetze al van meer dan een week geleden, maar slechts nu komt LinkedIn naar buiten met een reactie tegenover zijn leden, naast de initiële post op de algemene blog.
 
In de mail wordt uitgelegd wat er vorige week precies is gebeurd. LinkedIn legt een sterke nadruk op het feit dat de gelekte accountgegevens niet het resultaat zijn van een nieuwe hack, maar voortkomen uit een aanval in 2012. Het grootste deel van de gegevens die bij die aanval gestolen zijn, werden vorige week online te koop aangeboden. De gestolen gegevens omvatten “e-mailadressen, gecodeerde wachtwoorden en identificatienummers van LinkedIn-leden” die stammen uit 2012 en vroeger. De wachtwoorden mochten dan wel ‘gecodeerd’ zijn, volgens verschillende internetbronnen waren ze makkelijk te kraken.

Zout toevoegen

Zo werden de wachtwoorden enkel beveiligd met een hash. Dat betekent dat de woorden met behulp van een algoritme, in dit geval SHA1, omgezet worden in een willekeurige reeks cijfers en letters. Het probleem is dat dat altijd op dezelfde manier gebeurt: twee dezelfde wachtwoorden zullen één identiek resultaat opleveren. Daarmee kunnen cybercriminelen snel achterhalen welke wachtwoorden vaak voorkomen, zoals ‘wachtwoord’, en kunnen ze onder andere op die manier de code uiteindelijk kraken. Om een simpele hash veiliger te maken, kan je die daarom best combineren met salt. Daarbij wordt elk wachtwoord gecombineerd met een extra stukje data, waardoor ze wél unieke resultaten opleveren.
 
LinkedIn zegt sinds 2012 de wachtwoorden beter te beveiligen en inderdaad gebruik te maken van salted hashes. Bovendien kunnen gebruikers ervoor kiezen om tweestapsauthenticatie toe te passen. Daarmee wordt, naast je wachtwoord, een tweede beveiliging toegevoegd, zoals je telefoonnummer.
[related_article id=”167094″]

Veiligheidsmaatregelen

LinkedIn zegt ondertussen extra maatregelen te nemen om de schade te beperken. Gebruikers van voor 2012 worden gewaarschuwd met mails en notificaties en indien een gebruiker zijn wachtwoord sinds de hack in 2012 niet heeft veranderd, wordt dat wachtwoord ongeldig gemaakt. Dat proces ging op 18 mei van start en werd vijf dagen later afgerond. Ook worden “geautomatiseerde tools” gebruikt om verdachte activiteiten op het netwerk vast te stellen en een halt toe te roepen. Daarnaast schrijft LinkedIn gedurende de hele procedure nauw samen te werken met “politie en justitie”.
 
Ten slotte laat LinkedIn weten dat ook leden een steentje kunnen bijdragen. “We beschikken over meerdere toegewijde teams die er hard aan werken om ervoor te zorgen dat de gegevens die leden aan LinkedIn toevertrouwen, veilig blijven,” staat in de mail te lezen. “We doen wat we kunnen, maar we raden leden altijd aan om het veiligheidscentrum te bezoeken.” De standaardtips passeren de revue: verander je wachtwoord regelmatig, kies voor sterke wachtwoorden en gebruik voor verschillende accounts ook verschillende wachtwoorden.
 

Advertentie