image

6,5 miljoen LinkedIn-wachtwoorden gelekt

woensdag 6 juni 2012, 14:47 door Redactie, 48 reacties

Op een Russische hackersite is een bestand met de versleutelde wachtwoorden van 6,5 miljoen LinkedIn-gebruikers geplaatst. Vervolgens werd opgeroepen om de hashes te achterhalen, wat inmiddels 300.000 wachtwoorden heeft opgeleverd, zo meldt de Noorse website Dagensit.no. De oproep om te helpen met het kraken van de hashes wordt bevestigd door beveiligingsonderzoeker Per Thorsheim. Ook op andere websites probeert men de hashes te kraken.

Ook op Twitter zijn inmiddels talloze berichten over het lek verschenen, waaronder een link naar de 118MB grote database. Gebruikers krijgen dan ook het advies hun wachtwoord te wijzigen. Het Finse CERT heeft inmiddels een waarschuwing afgegeven.

Update 14:52
De Duitse beveiligingsexpert Stefan Esser merkt op dat het wijzigen van het wachtwoord niet zoveel zin heeft, zolang het lek waardoor de aanvallers de database wisten te bemachtigen niet wordt verholpen. LinkedIn heeft nog altijd niet gereageerd.

Update 15:08
"Hmmm linkedin database zou nu rondgaan. Simpele md5's van mijn wachtwoorden komen er niet in voor. Misschien gesalt", zo laat Ronald Prins, directeur van Fox-IT, op Twitter weten. Later meldt Prins: "Hmmm, mijn sha1 hash zit inderdaad in de linkedin database. Dus het is toch heel erg echt."

Update 15:14
Gebruikers zijn woedend op LinkedIn omdat het geen aanvullende beveiligingsmaatregelen zou hebben genomen. "Geen salt, geen enumeratie, helemaal niets", aldus Chris McKee.

Update 15:25
Overzicht van geraden hashes online, alsmede mirror van database-hashes.

Update 15:40
Volgens een persbericht van LinkedIn uit februari, heeft de sociale netwerksite 161 miljoen gebruikers. Dat zou betekenen dat de aanvallers de hashes van 4% van de gebruikers hebben bemachtigd. Inmiddels laat LinkedIn via Twitter weten dat het de zaak in onderzoek heeft.

Update 17:42
LinkedIn laat via Twitter weten dat het nog steeds bezig met het onderzoek is, maar nog altijd niet kan bevestigen of er een hack ook daadwerkelijk heeft plaatsgevonden.

Later meer

Reacties (48)
06-06-2012, 14:54 door Anoniem
Mn Russisch is een beetje roestig, snapt iemand die download site?
06-06-2012, 15:01 door Anoniem
Wijzigen heeft wel zin - als je kiest voor een langer en complexer wachtwoord (en dan vooral langer, zie bekende XKCD comic), dan zal het kraken van de SHA1 hash ervan langer duren...
06-06-2012, 15:05 door Anoniem
Wijzigen heeft ook zin omdat het een dump is welke ze hebben dus het zal even duren voordat een nieuwe dump online staat dus in de tussentijd heeft het zeker nut.
06-06-2012, 15:06 door SirDice
Het is overigens een lijst met alleen (encrypte) wachtwoorden. Het bevat geen gebruikersnamen.
06-06-2012, 15:12 door Anoniem
De gebruikersnamen gaan nog niet rond, maar het is natuurlijk mogelijk dat die ook gelekt zijn.
06-06-2012, 15:21 door Anoniem
Prins van Fox-IT kan de MD5 hash van zijn wachtwoord niet tussen de SHA1 hashes vinden....zucht.
06-06-2012, 15:22 door DanielG
"Hmmm linkedin database zou nu rondgaan. Simpele md5's van mijn wachtwoorden komen er niet in voor. Misschien gesalt", zo laat Ronald Prins, directeur van Fox-IT, op Twitter weten.

HAHAHAHA het zijn geen MD5 hashes, maar SHA1. Groot verschil.
06-06-2012, 15:24 door N4ppy
Dit heeft Ronald Prins te melden!
"hmmm, mijn sha1 hash zit inderdaad in de linkedin database. Dus het is toch heel erg echt."

Zie niets over MD5????
06-06-2012, 15:31 door RichieB
06-06-2012, 15:52 door Anoniem
Wat een afgang voor LinkedIn zeg. Boycotten die site, nu meteen. Gelukkig heb ik vorig jaar mijn account verwijderd.

Laat er maar een stevige storm van protest komen, dan worden die bedrijven hopelijk eens wakker.
06-06-2012, 15:59 door Anoniem
het zou zo maar kunnen dat er veel meer gegevens zijn buitgemaakt.
ik kreeg namelijk spam op een mail adres binnen dat alleen bij linkedin en mij bekend is.
06-06-2012, 15:59 door SirDice
Dat zou betekenen dat de aanvallers de hashes van 4% van de gebruikers hebben bemachtigd.
Klaarblijkelijk behoor ik tot die 86%, want de mijne staat er niet tussen \(^o^)/
06-06-2012, 16:03 door martijno
@SirDice je zou ook nog tot die andere 10% kunnen behoren.
06-06-2012, 16:08 door Acid Burn
Hmm, ik sta er ook niet tussen :D
06-06-2012, 16:09 door rob
Klaarblijkelijk behoor ik tot die 86%, want de mijne staat er niet tussen \(^o^)/

96%?
06-06-2012, 16:10 door Anoniem
100 - 4 is hoeveel?
06-06-2012, 16:13 door Anoniem
Of dhr Prins heeft toch niet zo'n uniek wachtwoord als hij denkt :-)
06-06-2012, 16:13 door Anoniem
Toch maar even hetzelfde wachtwoord gewijzigd op andere sites ;)
Voor degene die het lastig vind een sterk wachtwoord te verzinnen: http://www.onlinewachtwoordgenerator.nl
06-06-2012, 16:23 door rob
"De Duitse beveiligingsexpert Stefan Esser merkt op dat het wijzigen van het wachtwoord niet zoveel zin heeft, zolang het lek waardoor de aanvallers de database wisten te bemachtigen niet wordt verholpen. LinkedIn heeft nog altijd niet gereageerd. "

Lijkt me nogal belangrijk om dat juist wel te doen als je vreest voor de complexiteit van je wachtwoord. Wijzig je wachtwoord in een 20+ character wachtwoord ofzo.
06-06-2012, 16:28 door SirDice
Door martijno: @SirDice je zou ook nog tot die andere 10% kunnen behoren.

Door rob: Klaarblijkelijk behoor ik tot die 86%, want de mijne staat er niet tussen \(^o^)/

96%?

Oh, Duh.... Hoofdrekenen kan ik klaarblijkelijk ook niet meer :-/
06-06-2012, 16:37 door Anoniem
De vraag is nu of dit rechtstreeks bij LinkedIn vandaan komt of dat er een andere partij bij betrokken is. Voor hetzelfde geld is het een lalafide app geweest die man-in-the-middle heeft gespeeld. Het is opvallend dat ze sha1 zouden gebruiken zonder salt en er is nog steeds niets dat uitsluit dat het op een andere manier dan direct bij LinkedIn verkregen is.
06-06-2012, 16:44 door Anoniem
Door rob: "De Duitse beveiligingsexpert Stefan Esser merkt op dat het wijzigen van het wachtwoord niet zoveel zin heeft, zolang het lek waardoor de aanvallers de database wisten te bemachtigen niet wordt verholpen. LinkedIn heeft nog altijd niet gereageerd. "

Lijkt me nogal belangrijk om dat juist wel te doen als je vreest voor de complexiteit van je wachtwoord. Wijzig je wachtwoord in een 20+ character wachtwoord ofzo.

1) als ze toegang hebben tot een systeem hebben ze waarschijnlijk ook toegang tot de communicatie om voor voordat je wachtwoord gehashed is is onderschept. Wijzigen is zeker niet onverstandig, maar je mag het niet zien als ultime oplossing zolang niet duidelijk is of en hoe men toegang heeft tot systemen en gegevens.
2) ik zou niet alleen naar linkedin kijken wat je maar beter kan wijzigen, volksstammen die nog steeds hetzelfde wachtwoord bij meerdere dienstverleners gebruiken....Het is zaak dat gebruikers zich bewust zijn wat de gevolgen zijn, niet alleen wat mogelijk een oplossing is of hoop geeft.
06-06-2012, 16:47 door rob
Door Anoniem: De vraag is nu of dit rechtstreeks bij LinkedIn vandaan komt of dat er een andere partij bij betrokken is. Voor hetzelfde geld is het een lalafide app geweest die man-in-the-middle heeft gespeeld. Het is opvallend dat ze sha1 zouden gebruiken zonder salt en er is nog steeds niets dat uitsluit dat het op een andere manier dan direct bij LinkedIn verkregen is.

Interessante gedachte, maar dat lijkt mij niet zo waarschijnlijk. Dan zou de aanvaller die Man-in-the-Middle heeft was, het wachtwoord opgeslagen hebben in de vorm van een SHA-1 hash. Dat zou ik nogal vreemd vinden. Maar blijft interessant om te speculeren waarom ze in godsnaam geen salt hebben gebruikt.
06-06-2012, 16:53 door Anoniem
Door rob: Interessante gedachte, maar dat lijkt mij niet zo waarschijnlijk. Dan zou de aanvaller die Man-in-the-Middle heeft was, het wachtwoord opgeslagen hebben in de vorm van een SHA-1 hash. Dat zou ik nogal vreemd vinden. Maar blijft interessant om te speculeren waarom ze in godsnaam geen salt hebben gebruikt.
Het zal niet de eerste keer zijn dat iemand een bedrijf in een kwaad daglicht wil zetten door selectief informatie te publiceren. Misschien kan iemand hier nog een recent voorbeeld noemen? De journalisten en andere deskundigen namen het maar wat graag aan als waarheid/keken niet verder dan hun neus lang was en begonnen te wijzen.
06-06-2012, 17:15 door [Account Verwijderd]
[Verwijderd]
06-06-2012, 17:39 door yobi
Of het wachtwoord wijzigen zin heeft is de vraag. Wel heeft iedereen bij aanmelden een e-mailadres in moeten vullen. Indien deze hetzelfde wachtwoord heeft, dan zou ik die van de e-mail wijzigen.

Wachtwoord van Linkedin wijzigen heeft volgens mij pas zin als het lek is opgelost.
06-06-2012, 18:04 door jefdom
Door Anoniem: De vraag is nu of dit rechtstreeks bij LinkedIn vandaan komt of dat er een andere partij bij betrokken is. Voor hetzelfde geld is het een lalafide app geweest die man-in-the-middle heeft gespeeld. Het is opvallend dat ze sha1 zouden gebruiken zonder salt en er is nog steeds niets dat uitsluit dat het op een andere manier dan direct bij LinkedIn verkregen is.
LALAFIDE app,nieuw zeker?????
06-06-2012, 18:25 door Anoniem
domain leakedin.com is not free. :(
06-06-2012, 18:27 door [Account Verwijderd]
[Verwijderd]
06-06-2012, 18:39 door Anoniem
http://www.mediafire.com/?n307hutksjstow3

Waarom zijn er zo vaak 5 nullen aan het begin van de regel? Waarom is er zo vaak overlap als je de eerste 5 weglaat?
06-06-2012, 18:40 door Anoniem
Found me
06-06-2012, 19:08 door Anoniem
@17:15 Bergen

Goed punt, dat automatisch ...
Maar eenvoudig op te lossen door er ff
[/quote][/url] omheen te zetten.
06-06-2012, 19:34 door Anoniem
Hoe weten we nu of dit inderdaad linkedln wachtwoorden zijn ? of überhaupt wachtwoorden ?
06-06-2012, 19:38 door Anoniem
Wie zet er nu belangrijke informatie op social media sites ? Als ze mijn pw weten , veel plezier ermee !
(ondertussen weet je toch mijn id niet ;-) )
06-06-2012, 20:19 door Anoniem
LinkedIn heeft nu een blogpost neergezet met informatie over het wijzigen van een wachtwoord. Geen woord over passphrases, jammer genoeg.
http://blog.linkedin.com/2012/06/06/updating-your-password-on-linkedin-and-other-account-security-best-practices/
06-06-2012, 20:42 door Anoniem
Ik voorspel dat dit een hoax zal blijken te zijn.
Straks rode oortjes iedereen die klakkeloos deze onzin gelooft.
06-06-2012, 20:44 door Anoniem
Door Anoniem: De vraag is nu of dit rechtstreeks bij LinkedIn vandaan komt of dat er een andere partij bij betrokken is. Voor hetzelfde geld is het een lalafide app geweest die man-in-the-middle heeft gespeeld. Het is opvallend dat ze sha1 zouden gebruiken zonder salt en er is nog steeds niets dat uitsluit dat het op een andere manier dan direct bij LinkedIn verkregen is.
Ik heb 'n LinkedIn account, wat ik een half jaar geleden aangemaakt heb, en verder nooit gebruik. Ik heb een gegenereerd wachtwoord, 14 tekens, hoofd- en kleine letters, cijfers en wat rare tekens erin, welke ik niet op andere sites gebruik... De SHA1 hash van dit wachtwoord komt voor in de lijst, wat mij zegt:

* De lijst is authentiek
* Er is geen gebruik gemaakt van phishing of malafide apps of man-in-the-middle attacks.

LinkedIN is dus lek, en zolang dat lek niet gedicht is heeft het wijzigen van je wachtwoord alleen zin als je het nogmaals wijzigd NAdat 't lek gedicht is.
06-06-2012, 21:05 door Anoniem
Wat levert LinkedIn me eigenlijk op? Denk dat ik mijn account maar de nek omdraai...
06-06-2012, 21:26 door Mozes.Kriebel
Door rookie: Valt het jullie trouwens ook op dat zowat iedereen zijn CV op LinkedIn radicaal heeft opgepimpt? Zelfs de grootste r*kker op LinkedIn heeft nog een CV waar je "U" tegen zegt met een x aantal recommendations (lol!), zo'n site kon je dus toch allang niet meer serieus nemen?
That's why you're a rookie... ;)
06-06-2012, 22:31 door Fwiffo
Door SirDice:
Dat zou betekenen dat de aanvallers de hashes van 4% van de gebruikers hebben bemachtigd.
Klaarblijkelijk behoor ik tot die 86%, want de mijne staat er niet tussen \(^o^)/
Enge gedachte: Misschien hebben ze alleen de hashes gepubliceerd die ze zelf niet konden kraken? Verder zou ik deze hackers niet op hun blauwe ogen geloven dat de wachtwoorden allemaal (alleen) van LinkedIn komen. Dat is precies wat ze willen dat je denkt namelijk.
06-06-2012, 22:38 door Anoniem
Mijn SHA1 zit er anders mooi wel tussen en dat is een generator PW..
Enige plek waar ik dat wachtwoord gebruik, dus of we hebben een collision of het is echt.
07-06-2012, 08:07 door Anoniem
Moet er niet een verplichte security audit komen als "apps" (LinkedIn, Facebook, Twitter ed) eenmaal een bepaalde omvang gaan krijgen? Mensen gaan er nu maar vanuit dat hun (prive) gegegvens allemaal veilig opgeslagen zijn, maar telkens blijkt weer dat dit niet zo is.

En ja, als je als "internetter" je wachtwoord op meerdere plaatsen gebruikt, dan vraag je wel om moeilijkheden. Dat moet nu toch wel duidelijk zijn. Er zijn genoeg alternatieven om goede, gegenereerde wachtwoorden te gebruiken. Doe dat dan ook.
07-06-2012, 10:31 door SirDice
Door Fwiffo:
Door SirDice:
Dat zou betekenen dat de aanvallers de hashes van 4% van de gebruikers hebben bemachtigd.
Klaarblijkelijk behoor ik tot die 86%, want de mijne staat er niet tussen \(^o^)/
Enge gedachte: Misschien hebben ze alleen de hashes gepubliceerd die ze zelf niet konden kraken?
Mogelijk, ik ga er ook gewoon vanuit dat ze mijn wachtwoord wel hebben maar niet gepubliceerd is. Verder niet zo'n ramp, ik gebruik overal unieke wachtwoorden.
07-06-2012, 10:32 door Riviera
Ik denk dat het ook echt is, de hash van mijn wachtwoord zit er ook tussen :(

Mijn wachtwoord telt 13 tekens, een mix van hoofdletters, kleine letters, getallen en een speciaal teken....
Is dat veilig genoeg, of zal dat ook binnen afzienbare tijd gekraakt worden?

Volgens bijvoorbeeld: http://howsecureismypassword.net/ zou 1 computer er ongeveer 400 miljoen jaar over doen om dat te kraken...
07-06-2012, 14:07 door busyr
Die 400 miljoen jaar gaat uiteraard alleen op als er geen andere patronen in te ontdekken zijn, want als bv die 13 tekens opgebouwd zijn door in 'n "standaard" woord wat tekens te vervangen door l33tsp3ak en er een volgnummer (jaartal/datum/whatever) achter te plakken, ben je binnen 'n paar uurtjes gekraakt...

En uiteraard hoeft dat basis-woord niet in de Dikke van Dale te staan, er zijn meer woordenlijsten te vinden waar ook de wat creatievere "woorden" tussen zitten...
08-06-2012, 11:07 door SirDice
Door Riviera: Volgens bijvoorbeeld: http://howsecureismypassword.net/ zou 1 computer er ongeveer 400 miljoen jaar over doen om dat te kraken...
Volgens mij gaat dat uit van een "klassieke" brute-force. M.a.w. de berekening wordt gedaan op basis van een X aantal tests per seconden waarbij elke test afzonderlijk wordt gedaan.

Met behulp van rainbow tables echter kan het aanzienlijk verkort worden. Er hoeven immers geen hashes meer berekend te worden en wordt het een kwestie van de juiste waarde in de tabel vinden.

http://en.wikipedia.org/wiki/Rainbow_table
10-06-2012, 14:12 door Anoniem
Ik heb maar 1 woord:

SlechthoorLinkedIndatjulliedithebbenkunnenlatengebeuren!
06-10-2012, 17:02 door eMGee
Dit is nog van die eerste keer, een paar maanden terug (het artikel lijkt van juni te zijn, maar de precieze datum staat me niet meer bij), of is dit alweer van één of meerdere nieuwe inbraken? Erg vervelend wel, ik overweeg bijna mijn account daar op te zeggen. Ik had destijds wel mijn wachtwoord veranderd en in een hele lange ook, maar het zit me absoluut niet lekker.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.