Zoals je wellicht gelezen hebt kun je een bestand downloaden met meer dan zes miljoen LinkedIn-wachtwoorden. Versleuteld weliswaar, maar relatief zwak versleuteld en zonder gebruik te maken van 'salt'. Twee mensen met hetzelfde wachtwoord zullen dan ook maar één keer in het bestand voorkomen. Dit nieuws stinkt aan alle kanten en ik ben zeer teleurgesteld in LinkedIn. Laat me een paar gedachten met je delen.
Mijn wachtwoord stond in de lijst. Er komen geen dubbele records in de lijst voor. Aangezien niet iedereen een uniek wachtwoord heeft is de lijst van zes miljoen wachtwoorden dus voor (veel) meer dan zes miljoen gebruikers! Deze gedachte is niet uniek, op http://it.slashdot.org/comments.pl?sid=2898871&cid=40232643 lees je er meer over.
Het bestand is 'oud'. Dit betekent dat de accounts al lang geleden gekraakt zijn. Er zit een zwakte in de LinkedIn-app dat wachtwoorden te onderscheppen zijn. Ik gebruik de LinkedIn-app niet en mijn wachtwoord zit er ook tussen, mijn wachtwoord is dus niet op die manier gevonden. De database van LinkedIn is gewoon gekraakt.
Dit is natuurlijk erg, maar LinkedIn speelt mooi weer en geef wel wat toe, maar laat het overkomen alsof het niet ernstig is. Dit is *zeer* ernstig omdat A) hun database gehackt is en B) wachtwoorden zwak versleuteld zijn. Voor een miljarden bedrijf die op de beurs handelt is dit een doodzonde. Vooral omdat het wat zwaarder versleutelen een eitje is. Iets wat LinkedIn binnen 24 uur nu ook heeft doorgevoerd!
Als zo’n bedrijf al zo sloppy met veiligheid omgaat, dan belooft dit niet veel goeds. Nu denken veel mensen vast 'Lekker boeiend er staat toch niets belangrijks in'. Maar met jouw account hebben ze ook jouw e-mailadres en jouw gebruikersnaam. Deze combinaties gaan geautomatiseerd uitgeprobeerd worden op andere sites om met jouw gegevens ergens anders in te loggen. Veel mensen gebruiken vaker eenzelfde wachtwoord. En dat kan leiden tot iets groters dan je LinkedIn-gegevens.
Er zijn twee zaken die je goed moet beschermen met variabele, sterke wachtwoorden:
1) Toegang tot e-mail
2) Toegang tot zaken die te maken hebben met geld
Stel je e-mailaccount is gehackt en je bent een gebruiker van Pay-Pal. Bij Pay-Pal geeft de dief aan zijn wachtwoord vergeten te zijn, die wordt verstuurd naar je e-mail. Dit mailtje wordt direct verwijderd door de hacker en nu logt hij in op je Pay-Pal-account en wijzigt daar het e-mailadres naar een 'eigen' e-mailadres. Vanaf dat moment kan er geld gestolen worden van je rekening en duurt het een tijdje voordat je dat door hebt. Dit is slechts één voorbeeld.
Wil je kijken of jouw wachtwoord bij LinkedIn ook gekraakt is? Ik heb het bestand met de hashes (versleutelde) wachtwoord gedownload (kijk voor links op http://tweakers.net/nieuws/82411/wachtwoorden-miljoenen-linkedin-gebruikers-op-straat.html) en gekeken of mijn wachtwoord erbij zit. Dit was zo. Met deze link: https://oisyn.nl/converter/#dGVzdA==;u8;sha1;0 kun je een wachtwoord vertalen naar het versleutelde wachtwoord. Het bestand bevat veel regels die met vijf nullen beginnen. Dit zijn wachtwoorden die al zijn gekraakt. Door de eerste vijf tekens van jouw wachtwoord te wijzigen in 00000 en dit in het bestand te zoeken geeft aan of jouw wachtwoord er tussen staat.
Samenvattend:
1) LinkedIn is lang geleden gehackt en de hacker had toegang tot de database
2) LinkedIn heeft wachtwoorden slecht versleuteld
3) LinkedIn wist niets van de hack
4) LinkedIn bagataliseert de zaak
5) Grote bedrijven doen niet zomaar goed aan beveiliging
@Nick 🙂
Salt is beter dan geen salt, maar waar het om gaat is dat een groot bedrijf gehackt is, geen clue heeft over het hoe en wat, en veiligheid niet serieus neemt.
Ik ben het absoluut met je eens dat het tijd is voor wachtwoord tooltjes en waar mogelijk 2-weg authenticatie.
Ik adviseer mensen niet hun wachtwoord op andere sites in te geven, ik zeg alleen dat het kan en dat je zelf moet besluiten of je dit vertrouwt of slim vind. Aangezien zowel mijn hash als wachtwoord al “wasted” heb ik er geen enkel probleem mee om het oude wachtwoord te testen, maar ik zal dit nooit als advies geven.
Zag net een tweet van Frank Meeuwsen hoe die een wachtwoord plain text toegemaild krijgt van Ziggo. Dat is ook evil.
Maar dat er veel mis is, lijkt me duidelijk. Uiteindelijk leidt het wel tot meer bewust zijn. Overigens zijn er ook veel bedrijven die het beter doen, kijk naar Google.
Misschien een beetje in tegenstelling met de criticasters hier kan ik me de gedachtengang van Linkedin wel volgen, ook al ben ik net als Henri er toch duidelijk een andere mening toegedaan. Ik vind het veel interessanter om te vernemen welke procesmatige stappen ze hebben genomen ter verbetering van.
Ik wil de redenering van het beschikbaar maken van wachtwoorden, of het je toegang kunnen verschaffen door hacken van eventuele financiële componenten niet helemaal volgen. Als je namelijk een beetje na denkt maak je gewoon dergelijke koppelingen niet.
Vanuit mijn beleving is het terecht dat de gegevens van LinkedIn, naar buiten toe gepresenteerd, van elk individu, juist één van de pijlers van LinkedIn, toch?
Wat de punten van Henri betreft in de opsomming…… ik kan dat rijtje, vanuit eigen waarneming en ervaring misschien nog wel aanvullen met een twintig tal punten maar, ik ben de mening toegedaan dat wanneer je te maken krijgt met een hacker, kijk even naar hoe het verliep bij de KPN, dat je je eerst zou richten op het voorkomen van erger en daarna je bekommerd om kennisgeving naar buiten toe.
Overigens, ik heb dat wel vaker aangegeven, en slechts weinigen blijken er ook daadwerkelijk iets mee te doen …..
Volgens velen binnen en buiten de politiek moeten we met zijn allen vooral de VS volgen is beroepsmatig opzicht. Iedereen lekker zzp. Al jaren ageer ik hier tegen omdat kennis doorgaans erg slecht blijkt te zijn geborgd en kwaliteit soms wel eens danig achter blijft op de ontwikkelingen die een organisatie nu eenmaal door kan maken.
Dit heeft nu eenmaal consequenties waar wij, zeker in de IT, want tenslotte gaat het daar over in dit onderwerp, moeten er op bedacht zijn dat we nog steeds te maken hebben met soms flinke hiaten die, door drang tot bezuinigen ingegeven, voor lief worden genomen, vaak met dit soort consequenties.
We kunnen natuurlijk heerlijk blijven afgeven tot St. k#ttemis maar misschien moeten eens gaan toegeven dat we zien en ervaren dat de operationele en keten kennis in rap tempo aan het afnemen is en dat de politiek, maar zeker ook de werkgevers en opdrachtgevers, danig bezig zijn dit te stimuleren.
Gebruik je de IT als sluitstuk op je begrotingen? Dan ben je als onderneming zelf de oorzaak dat cruciale kwaliteitsaspecten domweg worden losgelaten met dit soort zaken als resultaat. Niet opzienbarend, wel heel erg voorspelbaar en herkenbaar. We kunnen naar alles en iedereen wijzen maar ik denk dat een deel van de oplossing hem ligt in de kennis en kwaliteit die wij als IT specialisten, vooral de senior, professioneel met ons mee brengen naar de opdracht/projecten.
Ook hier blijken weer twee wetmatigheden gewoon weer op hun plaats…….
1. Never asume, always verify
2. If you pay peanuts, you’ll get monkeys.
Zo simpel is het dan uiteindelijk ook weer….