Mijn wachtwoord stond in de lijst. Er komen geen dubbele records in de lijst voor. Aangezien niet iedereen een uniek wachtwoord heeft is de lijst van zes miljoen wachtwoorden dus voor (veel) meer dan zes miljoen gebruikers! Deze gedachte is niet uniek, op http://it.slashdot.org/comments.pl?sid=2898871&cid=40232643 lees je er meer over.
Het bestand is 'oud'. Dit betekent dat de accounts al lang geleden gekraakt zijn. Er zit een zwakte in de LinkedIn-app dat wachtwoorden te onderscheppen zijn. Ik gebruik de LinkedIn-app niet en mijn wachtwoord zit er ook tussen, mijn wachtwoord is dus niet op die manier gevonden. De database van LinkedIn is gewoon gekraakt.
Dit is natuurlijk erg, maar LinkedIn speelt mooi weer en geef wel wat toe, maar laat het overkomen alsof het niet ernstig is. Dit is *zeer* ernstig omdat A) hun database gehackt is en B) wachtwoorden zwak versleuteld zijn. Voor een miljarden bedrijf die op de beurs handelt is dit een doodzonde. Vooral omdat het wat zwaarder versleutelen een eitje is. Iets wat LinkedIn binnen 24 uur nu ook heeft doorgevoerd!
Als zo’n bedrijf al zo sloppy met veiligheid omgaat, dan belooft dit niet veel goeds. Nu denken veel mensen vast 'Lekker boeiend er staat toch niets belangrijks in'. Maar met jouw account hebben ze ook jouw e-mailadres en jouw gebruikersnaam. Deze combinaties gaan geautomatiseerd uitgeprobeerd worden op andere sites om met jouw gegevens ergens anders in te loggen. Veel mensen gebruiken vaker eenzelfde wachtwoord. En dat kan leiden tot iets groters dan je LinkedIn-gegevens.
Er zijn twee zaken die je goed moet beschermen met variabele, sterke wachtwoorden:
1) Toegang tot e-mail
2) Toegang tot zaken die te maken hebben met geld
Stel je e-mailaccount is gehackt en je bent een gebruiker van Pay-Pal. Bij Pay-Pal geeft de dief aan zijn wachtwoord vergeten te zijn, die wordt verstuurd naar je e-mail. Dit mailtje wordt direct verwijderd door de hacker en nu logt hij in op je Pay-Pal-account en wijzigt daar het e-mailadres naar een 'eigen' e-mailadres. Vanaf dat moment kan er geld gestolen worden van je rekening en duurt het een tijdje voordat je dat door hebt. Dit is slechts één voorbeeld.
Wil je kijken of jouw wachtwoord bij LinkedIn ook gekraakt is? Ik heb het bestand met de hashes (versleutelde) wachtwoord gedownload (kijk voor links op http://tweakers.net/nieuws/82411/wachtwoorden-miljoenen-linkedin-gebruikers-op-straat.html) en gekeken of mijn wachtwoord erbij zit. Dit was zo. Met deze link: https://oisyn.nl/converter/#dGVzdA==;u8;sha1;0 kun je een wachtwoord vertalen naar het versleutelde wachtwoord. Het bestand bevat veel regels die met vijf nullen beginnen. Dit zijn wachtwoorden die al zijn gekraakt. Door de eerste vijf tekens van jouw wachtwoord te wijzigen in 00000 en dit in het bestand te zoeken geeft aan of jouw wachtwoord er tussen staat.
Samenvattend:
1) LinkedIn is lang geleden gehackt en de hacker had toegang tot de database
2) LinkedIn heeft wachtwoorden slecht versleuteld
3) LinkedIn wist niets van de hack
4) LinkedIn bagataliseert de zaak
5) Grote bedrijven doen niet zomaar goed aan beveiliging
Terug
