Zoals je wellicht gelezen hebt kun je een bestand downloaden met meer dan zes miljoen LinkedIn-wachtwoorden. Versleuteld weliswaar, maar relatief zwak versleuteld en zonder gebruik te maken van 'salt'. Twee mensen met hetzelfde wachtwoord zullen dan ook maar één keer in het bestand voorkomen. Dit nieuws stinkt aan alle kanten en ik ben zeer teleurgesteld in LinkedIn. Laat me een paar gedachten met je delen.
Mijn wachtwoord stond in de lijst. Er komen geen dubbele records in de lijst voor. Aangezien niet iedereen een uniek wachtwoord heeft is de lijst van zes miljoen wachtwoorden dus voor (veel) meer dan zes miljoen gebruikers! Deze gedachte is niet uniek, op http://it.slashdot.org/comments.pl?sid=2898871&cid=40232643 lees je er meer over.
Het bestand is 'oud'. Dit betekent dat de accounts al lang geleden gekraakt zijn. Er zit een zwakte in de LinkedIn-app dat wachtwoorden te onderscheppen zijn. Ik gebruik de LinkedIn-app niet en mijn wachtwoord zit er ook tussen, mijn wachtwoord is dus niet op die manier gevonden. De database van LinkedIn is gewoon gekraakt.
Dit is natuurlijk erg, maar LinkedIn speelt mooi weer en geef wel wat toe, maar laat het overkomen alsof het niet ernstig is. Dit is *zeer* ernstig omdat A) hun database gehackt is en B) wachtwoorden zwak versleuteld zijn. Voor een miljarden bedrijf die op de beurs handelt is dit een doodzonde. Vooral omdat het wat zwaarder versleutelen een eitje is. Iets wat LinkedIn binnen 24 uur nu ook heeft doorgevoerd!
Als zo’n bedrijf al zo sloppy met veiligheid omgaat, dan belooft dit niet veel goeds. Nu denken veel mensen vast 'Lekker boeiend er staat toch niets belangrijks in'. Maar met jouw account hebben ze ook jouw e-mailadres en jouw gebruikersnaam. Deze combinaties gaan geautomatiseerd uitgeprobeerd worden op andere sites om met jouw gegevens ergens anders in te loggen. Veel mensen gebruiken vaker eenzelfde wachtwoord. En dat kan leiden tot iets groters dan je LinkedIn-gegevens.
Er zijn twee zaken die je goed moet beschermen met variabele, sterke wachtwoorden:
1) Toegang tot e-mail
2) Toegang tot zaken die te maken hebben met geld
Stel je e-mailaccount is gehackt en je bent een gebruiker van Pay-Pal. Bij Pay-Pal geeft de dief aan zijn wachtwoord vergeten te zijn, die wordt verstuurd naar je e-mail. Dit mailtje wordt direct verwijderd door de hacker en nu logt hij in op je Pay-Pal-account en wijzigt daar het e-mailadres naar een 'eigen' e-mailadres. Vanaf dat moment kan er geld gestolen worden van je rekening en duurt het een tijdje voordat je dat door hebt. Dit is slechts één voorbeeld.
Wil je kijken of jouw wachtwoord bij LinkedIn ook gekraakt is? Ik heb het bestand met de hashes (versleutelde) wachtwoord gedownload (kijk voor links op http://tweakers.net/nieuws/82411/wachtwoorden-miljoenen-linkedin-gebruikers-op-straat.html) en gekeken of mijn wachtwoord erbij zit. Dit was zo. Met deze link: https://oisyn.nl/converter/#dGVzdA==;u8;sha1;0 kun je een wachtwoord vertalen naar het versleutelde wachtwoord. Het bestand bevat veel regels die met vijf nullen beginnen. Dit zijn wachtwoorden die al zijn gekraakt. Door de eerste vijf tekens van jouw wachtwoord te wijzigen in 00000 en dit in het bestand te zoeken geeft aan of jouw wachtwoord er tussen staat.
Samenvattend:
1) LinkedIn is lang geleden gehackt en de hacker had toegang tot de database
2) LinkedIn heeft wachtwoorden slecht versleuteld
3) LinkedIn wist niets van de hack
4) LinkedIn bagataliseert de zaak
5) Grote bedrijven doen niet zomaar goed aan beveiliging
Henri,
Ik deel je mening totaal. Het verbaast mij hoe weinig er aan damage control door Linkedin gedaan wordt. Ik moest dit via andere media vernemen. Hier had op het moment van uitlekken toch echt iets proactiefs op ondernomen moeten worden vanuit Linkedin.
Zeer slechte reclame en PR dit.
Uiteraard eens, waarbij ik denk dat dit nogmaals het belang van het gebruik van two-factor authentication aangeeft.
Zo geeft o.a. Facebook en Google hiertoe verschillende opties, zoals het versturen van SMS of het gebruik van een generator app, wanneer een ‘vreemd’ apparaat wordt herkent. Zo heeft de hacker niets aan enkel het wachtwoord. Alleen jammer dat LinkedIn deze mogelijkheid niet heeft, waarbij ik ook geen Single Sign-on mogelijkheid krijg met bijvoorbeeld het koppelen van een ander ‘veilig’ account.
Uiteraard lost dit niet het probleem op, maar maakt het risico kleiner. Zo is ook het gebruik van een “password-safe tooltje”, zoals keypass, weer een extra drempel, zodat je in ieder geval unieke complexe wachtwoorden gebruikt.
Verplichte audits op dergelijke implementaties gaat iets te ver.. of toch niet?
‘Verplichte audits op dergelijke implementaties gaat iets te ver.. of toch niet… ?’
Het gaat juist ver dat overheden dit soort onveilige toestanden toestaat.
Er is gewoon periodiek en verplicht security-onderzoek nodig bij zulke bedrijven. Bijv. te beginnen bij alle bedrijven die meer dan één miljoen accounts hebben.
En de uitslagen van die onderzoeken moeten dan gewoon per direct openbaar; bijv. op http://www.securityaudits.org (ik noem maar iets).
Henri,
Ik lees altijd met interesse je opinie en artikelen. Maar wat is de link tussen de inhoud van dit artikel en de opinie op Computable-site?
Dit artikel had ook op Telegraaf.nl kunnen staan! Ik zie hieronder een opsomming van feiten die al bekend zijn en mis je visie omtrent wat er gebeurd is.
Er wordt gezegd dat jij als bedrijf niet “altijd” in staat bent om de security (en nog veel andere zaken) goed te regelen. Het uitbesteden van je diensten aan externe leverancier (lees Cloud) wordt als een oplossing benoemd.
Ik beschouw LinkedIn als een groot bedrijf. In mijn ogen wat er met LinkedIn gebeurd is, is een tegen argument voor de stelling hierboven(uitbesteden). Ook de bekend en grote bedrijven kunnen niet alle zaken waar je niet goed in bent, goed realiseren. Er zijn genoeg (grote)bedrijven die achter hun muren gebruik maken van diensten van veel andere (extern en sub) leveranciers iets wat de kans op een risico groter “kan” maken(meer schakels in de keten). Dit is niet voor me als klant zichtbaar (en dat wil ik ook niet weten/zien).
Wees als klant bewust van het feit dat de externe leveranciers (hoe groot ze ook zijn) niet “altijd” je problemen op kunnen lossen zoals dat in de salsetraject beweerd wordt.
Waar maak je je druk om, ‘je hebt toch niets te verbergen?’ Vrees niet: straks gaat de overheid zich er mee bemoeien en weet je niet eens meer wat er allemaal over je gelekt wordt (CISPA), dus hoef je je er ook niet meer druk om te maken (onderga gewoon de gevolgen). Slaap zacht.
Social media: educate yourself. Think!
Henri,
Een goed stuk waar je terecht het ‘pijnpunt’ van zwakke wachtwoorden en herhaald gebruik hiervan bij andere diensten aangeeft. Blijkbaar leeft dit besef niet bij veel mensen en velen halen dan ook hun schouders op bij dit nieuws. Dat lijkt me nogal zorgelijk want daarmee krijgt dit geval een gelijkenis met een eerdere hack waardoor KPN klantgegevens op straat kwamen te liggen. Een ezel stoot zich blijkbaar toch wel vaker aan dezelfde steen.
Dat LinkedIN niet als enige zo koppig als een ezel is in het ontkennen van het risico is trouwens ook niet uniek. Ondertussen zijn ze wel wakker geworden en ondernemen ze actie door getroffen gebruikers te informeren. Helaas lijken de hackers hier ook weer gebruik van te maken door gelijkende phishing mails te versturen.
Allen, ik wist niet wanneer mijn stukje geplaatst zou worden, want ik wil nog wel wat dingen toevoegen:
Ik weet het verschil tussen hashen en versleutelen. In andere fora wordt hierover gevallen. Ik zie een hash we degelijk als een versleuteling waarbij de SHA-1 in dit geval de sleutel is, maar als je met cryptologen een discussie aangaat vallen ze hier over.
Punt 6 had ik ook nog toe willen voegen:
6) LinkedIn geen clue heeft en dus ook geen controle
Op http://leakedin.org/ kun je kijken of jouw wachtwoord ook in het bestand zit en of het al gekraakt is. Nu denk je vast, haha, ik ga daar toch niet mijn wachtwoord invoeren… oordeel zelf. Op geen stijl zijn ook leuke probeersels te vinden.
@Johan Wijnker: Ja, dat HTTP inloggen heb ik ook al een tijd geleden bij Computable gemeld en is een doorn in mijn oog. Het besef is er gewoon nog niet dat het internet een “wicked place” is waar niet iedereen goede bedoelingen heeft. Het is erop wachten dat dit mis gaat.
Je moet er dus eigenlijk vanuit gaan dat je gegevens nergens veilig zijn, want bij LinkedIn blijkt het bestand al meer dan een jaar oud te zijn…
Ik heb ook indicatie dat de usernames ook net als de wachtwoorden verspreid zijn. Sinds het lek eergisteren heb ik kennissen die ineens last hebben van SPAM status updates in hun LinkedIn. Blijkbaar willen een aantal lieden nog snel even wat doen voordat het dicht gezet wordt.
@Reza: De link is deze: Ik ben cloud computing deskundig en LinkedIn is een SaaS op basis van Cloud Computing 😉 Dit is een Cloud-breach en dus zeker relevant. En ja, ik ben erg pro-cloud en dit is in feite een ramp en dus voor iedereen een wake-up call dat grote bedrijven veiligheid niet allemaal serieus nemen. Maar ik stop nu niet met het gebruik van Google Apps aangezien ik bij hun wel het gevoel heb veilig te zitten met 2-weg authenticatie. Je moet je realiseren dat elke werkplek met toegang tot het internet een risico vormt. Dus niet doen aan cloud computing betekent niet dat je “veilig” bent.
Overigens is niet het lekken van data bij LinkedIn het ergst. Wat erg is, is dat veel mensen voor meerdere diensten hetzelfde wachtwoord gebruiken. Daar steekt de angel. Als iedereen netjes om zou gaan met verschillende wachtwoorden dan was de hack bij LinkedIn niet zo’n catastrofe geweest.
Als laatste dit: Ga ik nu mijn LinkedIn profiel verwijderen? Nee. Terwijl ik dit moreel wel zou moeten doen. En dat… wringt.
Beste Henri,
Een paar zaken,
De iOS app lekt geen wachtwoorden, maar stuurt zonder toestemming kalender informatie door.
Verderop geef je af op de manier waarop wachtwoorden worden opgeslagen bij Linked IN.
Hoewel het Salten van wachtwoorden in 2004 gezien werd als DE manier om veilig met wachtwoorden om te gaan, is dit inmiddels al een paar jaar achterhaald doordat o.a. NVidia met CUDA en ATI met Stream zijn gekomen en daarmee de gigantische rekenkracht van grafische kaarten unlockt hebben is ook het kraaken van hashes of hashes die een keer gesalt zijn niet genoeg. Nu wordt geadviseerd om Bcrypt/scrypt/etc te gebruiken die dit proccess meerdere keren herhaalt.
Linked IN bestaat als sinds 2002. Is het stom dat ze de manier van het omgaan met wachtwoorden niet hebben aangepast? Zeker, maar als je denkt dat andere bedrijven het beter doen, dan heb je het mis; hashen (met of zonder salt) is de standaard; de techniek die verderop aangehaald wordt om het beter te doen wordt nouwelijks gebruikt. Het beste advies is nog altijd om te zorgen dat je voor alles een ander wachtwoord gebruikt, er zijn programma’s zoals KeePass die dit heel makkelijk maken. Daarbij komt, dat als je je wachtwoorden toch niet hoeft te onthouden (doet KeePass voor je), dat je dan ook 20+ random characters kunt gebruiken waardoor het niet meer zo makkelijk te kraken is als je wachtwoord slechts beschermd wordt met een enkele one-way hash.
Om te zien hoe makkelijk de wachtwoorden ongesalt te kraken zijn: http://erratasec.blogspot.co.uk/2012/06/linkedin-vs-password-cracking.html
Informatie over hoe het beter kan: http://www.f-secure.com/weblog/archives/00002379.html
Als laatste wat statistieken over de gebruikte wachtwoorden: http://pastebin.com/5pjjgbMt
Als laatste is het erg onverstandig om mensen te adviseren om hun wachtwoord op de website van een 3e partij in te geven.
In het geval van LeakedIN.org worden bijvoorbeeld alle wachtwoord hashes netjes gelogd door het statistieken bedrijf dat ze gebruiken (Clicky), niet heel verstandig dus… Bewijs? https://twitter.com/getclicky/status/210538248034988035
@Reza, niet alleen grote Cloud leveranciers nemen security niet allemaal serieus zoals zou moeten, gebruikers interesseert het vaak ook hoegenaamd niet. Kalf management dus.
Goed en actueel artikel Henri!
We zijn nu een paar dagen verder na het uitlekken van de wachtwoorden lijst van LinkedId. Er is op zich weinig nieuws, maar ik heb wel langer nagedacht over dit alles, en ik wil deze gedachten delen.
Laat ik zaadje planten. Misschien is LinkedIn niet gehackt. Dit is iets wat LinkedIn ook wil doen geloven in hun laatste verklaring (http://goo.gl/Q6lDn ). Als ik een lijst maak van 0000 tot en met 9999 en deze verspreid met de boodschap dat ik de Nederlandse bankpassen heb gekraakt van de ABN dan zal iedereen bevestigen dat hun pincode er tussen staat. Ik kan binnen vijf minuten een lijst produceren van wachtwoorden die gehashd zijn met SHA-1 die zo lang is als de lijst die op het internet verschenen is. Maar die zou wel willekeurig zijn. Er is ook zoiets als rainbow tables. Deze zijn door de tijd heen opgebouwd om SHA-1 wachtwoorden sneller te ontcijferen. Als je hier een slimme selectie uit haalt heb je al een grotere kans om werkelijke wachtwoorden te tonen. Mijn wachtwoord die ik uit de lijst haalde gebruikte ik inderdaad op LinkedIn. Maar ook op Twitter, Last.FM, en op Computable.nl. Het is een wachtwoord wat niet uit alleen uit letters bestaat, maar ook uit cijfers. Het is niet onmogelijk dat iemand anders dit wachtwoord ook gebruikt. Juist omdat de impact laag is was het wachtwoord niet bijzonder sterk en gebruikte ik hem voor meerdere doeleinden. Ik kan alleen mijn eigen wachtwoord valideren. Ik ben benieuwd of een gebruiker van KeePass of LastPass ook zijn wachtwoord heeft teruggevonden. Die tooltjes maken voor elke site een ander wachtwoord aan en daarmee kan daadwerkelijk gevalideerd worden dat de lijst op het internet echt van LinkedIn afkomstig is. Als dit zo is (en zo lijkt het wel te zijn), dan is het zeer waarschijnlijk dat er bij de wachtwoorden lijst ook de inlognamen bekend zijn.
De laatste verklaring van 7 Juni waar ik al de link van gaf is wederom een loze verklaring waarin ze schrijven dat er geen indicatie is dat ook de inlognamen verspreid zijn:
‘To the best of our knowledge, no email logins associated with the passwords have been published, nor have we received any verified reports of unauthorized access to any member’s account as a result of this event.’
Er is dus ook geen ongeoorloofd toegang gedetecteerd. Right. Hoe kunnen ze dat onderscheid maken? En wat valt er te halen dan? Wat spam verspreiden? Nee, de buit zit hem in het proberen van de gebruikersnamen en wachtwoorden op andere diensten. En zoals iemand al toegaf; die gebruikte dezelfde gegevens voor LinkedIn als voor PayPal. Statistiek zal uitwijzen dat diegene niet uniek is….
In de reacties die ik kreeg op Computable.nl stond ook een rake. Ga maar eens naar LinkedIn en log uit. Inloggen gebeurt over een gewone HTTP verbinding. Dus gegevens worden niet eens versleuteld verzonden naar LinkedIn!! Als ze veiligheid serieus namen… dan zouden ze dat ook aanpassen.
Als ik het artikel op ZDnet moet geloven ( http://goo.gl/IAS70 ) dan heeft LinkedIn niet zoiets als een information officer (CIO), of een chief information security officer (CISO).
Alles bij elkaar opgeteld is dit een faal van epische proporties. Ik kan niet één goed punt vinden die in het voordeel van LinkedIn spreekt. Het enige wat het mij brengt is dat ik nu serieus een poging doe om over te stappen op een wachtwoordtool.