De gestolen data van de LinkedIn-hack in 2012 zijn onlangs online gezet. Het sociale netwerk speelt hier op in door wachtwoorden van de risicovolle-accounts ongeldig te maken. Het betreft accounts die voor de inbreuk zijn aangemaakt en het wachtwoord na de hack niet hebben gewijzigd. Dat meldt LinkedIn in een e-mail naar zijn leden.
In 2012 werd het sociale netwerk LinkedIn gehackt. Hierbij zijn e-mailadressen, versleutelde wachtwoorden en identificatienummers van LinkedIn-leden gestolen. In een bestand werden de (versleutelde) wachtwoorden gedeeld. Vorige week bevestigde LinkedIn dat de hack een grotere omvang had dan de communiceerde 6,5 miljoen gegevens: er waren in totaal 117 miljoen inloggegevens buitgemaakt.
Daarnaast kwam LinkedIn er achter dat de gestolen data uit 2012 nu online zijn gezet. Het betreft naar eigen zeggen dus geen nieuwe beveiligingsinbreuk of nieuwe hack. Het sociale netwerk speelt op de gebeurtenis in door alle accounts die voor de 2012-hack zijn aangemaakt en die na de hack het wachtwoord niet hebben gewijzigd ongeldig te maken.
LinkedIn laat ook weten dat het sinds de hack in 2012 de beveiligingsmaatregelen fors heeft aangescherpt. Zo zet het tools in om verdachte activiteit op LinkedIn-accounts te identificeren en te stoppen en werkt het samen met politie en justitie. Daarnaast versleutelt het de opgeslagen wachtwoorden met zogenaamde ‘salted hashes’ en biedt het mogelijkheden tot twee-factor- authenticatie.
Bijzonder jammer dat dit, al oudere feit, nog steeds impact kan hebben, jaren na dato. Aan de andere kant ook een reminder dat er niet zoiets bestaat als ‘waterdicht’ in de digitale wereld. Het enige jammere was dat Linkedin ‘even’ heeft gewacht met de berichtgeving naar buiten toe.
Henri Koppen heeft destijds een gedegen stukje hierover geschreven, waar menigeen wel achter kan staan me dunkt. Het geeft eveneens aan hoe het is gesteld met het idee email systemen van derden te gebruiken voor zakelijke aangelegenheden of persoonlijke data. Natuurlijk roept iedereen dat je je via media als Linkedin je zoveel mogelijk te profileren want stel je voor dat die opdrachtgever of potentiële werkgever jou uitgerekend niet zou weten te vinden.
Nu is het in mijn bescheiden mening zo, maar wie ben ik, dat als iemand in mij is geïnteresseerd dan is dat omdat die verder heeft gekeken dan louter een ‘profieltje’ op iets als Linkedin of, als je die hebt, op facebook, wat ik dan weer niet heb. Dat diegene dan ook minstens de moeite heeft genomen mij gewoon eens wat vragen te stellen zodat je samen kunt op en uitmaken of je geschikt bent voor elkaar of toevoegende waarde voor elkaar hebt.
Dikdoenerij op de sociale media om op te vallen voor een potentiële opdracht of werkgever heb ik altijd ‘Idioot’ gevonden. Het draagt namelijk mede bij aan de situatie zoals die nu is ontstaan. Een cowboymarkt waarbij veel HR professionals, recruiters en cowboys net doen alsof zij kunnen bepalen of jij ‘iets’ voor hun kan zijn, uiteraard tegen navenant tarief, of dat je de situatie weer in evenwicht brengt.
Namelijk, dat jij als professional iets voor hen kan betekenen en vv. Wat ik heb gemist destijds van Linkedin is de onmiddelijke maatregel iedereen te informeren en verbeteringen door te voeren in hun systemen binnen enkele uren.
Weer een helder signaal hoe het kan gaan in de echte buitenwereld. Opletten met je persoonlijke data dus op de sociale media.
Inderdaad: Opletten met sociale media, goede communicatie en regelmatig wachtwoorden wijzigen. Allemaal menselijke (gedrags)factoren en behorende bij een normale baseline voor beveiliging. Wat dit incident ook leert: we hebben nog een zeer lange weg te gaan als het gaat om het melden van datalekken.. Mogelijk dat ook daar de menselijke factor een beperkende factor blijkt te zijn!
In hoeverre de nieuwe meldplicht meespeelt bij recentelijke ‘mea culpa’ van LinkedIn weet ik niet maar het is opmerkelijk dat dit 4 jaar later, inclusief de juiste getallen, onder druk van publicatie gedaan wordt. En betreffende de constateringen van NumoQuest is het inderdaad vreemd dat een Amerikaanse oplossing in korte tijd zo’n impact heeft gekregen op de HRM systemen maar daar schreef ik in 2012 al een opinie over:
https://www.computable.nl/artikel/opinie/systeembeheer/4559463/1509029/dotcom-economie-is-nu-bedotcom-economie.html
Rene, dank 🙂
Ewout, ik woonde gisteren nog een leuke presentatie bij over Unisys Stealth, en moest meteen aan jou denken.
Overigens ben ik nog steeds LinkedIn gebruiker, ik moet zeggen dat ik het wel erg prettig vind dat de meeste mensen zo makkelijk gevonden worden. Het circus er om geen is just a sign of the time…
Henri,
De ‘Situational Awareness’ aangaande privacy is inderdaad een ‘sign of time’ want de WBP werd (net als het College Bescherming Persoonsgegevens) in 2001 ingevoerd als antwoord op allerlei grensoverschrijdende informatiestromen en recente herziening maakt een einde aan de eerdere vrijblijvendheid, vandaar de nieuwe naam Autoriteit Persoonsgegevens;-)
https://autoriteitpersoonsgegevens.nl/nl/over-privacy/wetten/europese-privacyrichtlijn
Wat is het nieuws? Dat toendertijd niet 6,5 miljoen, maar alle (?) LI accounts gestolen waren? Ze hebben inderdaad hun wachtwoordopslag verbeterd – van belabberd naar goed. En ongetwijfeld monitoren ze de activiteit op hun platform, maar de doelen en effectiviteit daarvan kunnen we als buitenstaanders toch niet vaststellen. Maar het platform heeft effect voor professionals, zoals Henri al aangaf.
We hebben zelf een verantwoordelijkheid om op te letten wat we op LI zetten en met wie we linken en verantwoord om te gaan met onze authenticatiegegevens. Dat is onveranderd. In 2012 had je je wachtwoord veranderd moeten hebben, en anders dan op andere platformen. Heb je dat toen niet gedaan, ligt dat aan jouzelf.
Vandaar de vraag: wat is het nieuws?
Lex, het gaat ook om spam. Ik heb LinkedIn destijds gemeld dat ze zeer waarschijnlijk gehackt zij waren, omdat ik opeens voor het eerst een lawine aan spam kreeg (heb voor vrijwel elk platform een apart e-mail adres). Ik kreeg van hen het antwoord om mijn wachtwoord te wijzigen. Dat had ik al lang gedaan, maar ik wist niet hoe safe mijn nieuwe wachtwoord bij hen was opgeslagen. Verder – zoals gebruikelijk – geen commentaar van LinkedIn.
LinkedIn is gewoon laks geweest en moet dit nu toegeven door initiatieven zoals https://haveibeenpwned.com/. Zie verder ook https://www.troyhunt.com/observations-and-thoughts-on-the-linkedin-data-breach/.