LinkedIn: 6,5 млн. паролей оказались в общем доступе
Компания сообщает, что социальная сеть подтвердила информацию о компрометации паролей 6,5 млн пользователей ресурсом. Файл с данными появился в общем доступе 5 июня на российском хакерском портале Insidepro.com, специализирующемся на поиске способов восстановления паролей через хэш. Хакер заявил, что ему также известны и имена «жертв», однако разглашать их он не собирается. Николай Федотов, главный аналитик InfoWatch считает, что сам факт не слишком взволновал айтишную общественность, хотя новость о ней разлетелась мгновенно. Специалисты знают, что монетизировать линкединовский аккаунт невозможно, соответственно, на чёрном рынке этот товар не купят. Поэтому айтишники нынче ночью не торопились бежать и менять свои пароли, а скачивали себе утекшую базу, рассматривали её, пробовали брутфорс и перебор по словарям, степенно обсуждали стойкость хешей и возможности их массового обращения. «Наибольшее возмущение общественности вызвал тот факт, - продолжает Федотов. - Что пароли этой "соцсети профессионалов" хешировались не профессионально - т.е. без использования соли (добавки к хешируемому значению). С солью обратить хеш-функцию было бы немного труднее. А ресурсов это почти не занимает. Данное упущение, согласно общему мнению, не делает чести разработчикам системы, Скорее всего, что и инцидент произошел из-за подобной недоработки, а не в результате направленных или неосторожных действий сотрудников соцсети. Для нас, разработчиков DLP-систем, это разница принципиальна».
Компания сообщает, что социальная сеть подтвердила информацию о компрометации паролей 6,5 млн пользователей ресурсом. Файл с данными появился в общем доступе 5 июня на российском хакерском портале Insidepro.com, специализирующемся на поиске способов восстановления паролей через хэш. Хакер заявил, что ему также известны и имена «жертв», однако разглашать их он не собирается. Николай Федотов, главный аналитик InfoWatch считает, что сам факт не слишком взволновал айтишную общественность, хотя новость о ней разлетелась мгновенно. Специалисты знают, что монетизировать линкединовский аккаунт невозможно, соответственно, на чёрном рынке этот товар не купят. Поэтому айтишники нынче ночью не торопились бежать и менять свои пароли, а скачивали себе утекшую базу, рассматривали её, пробовали брутфорс и перебор по словарям, степенно обсуждали стойкость хешей и возможности их массового обращения. «Наибольшее возмущение общественности вызвал тот факт, - продолжает Федотов. - Что пароли этой "соцсети профессионалов" хешировались не профессионально - т.е. без использования соли (добавки к хешируемому значению). С солью обратить хеш-функцию было бы немного труднее. А ресурсов это почти не занимает. Данное упущение, согласно общему мнению, не делает чести разработчикам системы, Скорее всего, что и инцидент произошел из-за подобной недоработки, а не в результате направленных или неосторожных действий сотрудников соцсети. Для нас, разработчиков DLP-систем, это разница принципиальна».