В LinkedIn подтвердили взлом «части» паролей пользователей
В официальном блоге LinkedIn сообщается о шагах, которые предпринимает команда ресурса в сложившейся ситуации, а также предлагается обновить пароли всем пользователям.
Как известно, сообщение о взломанной базе хэшей приблизительно 6,5 млн. паролей пользователей LinkedIn появилось на форуме по подбору хэшей forum.insidepro.com. Его опубликовал пользователь под ником dwdm.
Всего было слито два списка, содержавших около 8 млн. паролей. Второй из списков, приблизительно с 1,5 млн. паролей, видимо, относился к сайту знакомств eHarmony. Специалисты пришли к такому выводу, поскольку в части паролей содержались слова «eharmony» или «harmony».
Взлом паролей LinkedIn стал результатом работы «коллективного разума» InsidePro. Главный же вклад пользователя dwdm, чей ник опубликовали все информационные ресурсы, заключается в том, что он обратился к обитателям форума за помощью во взломе хэшей.
Исходный список содержал приблизительно 1,5 млн. паролей. В течение двух с половиной часов было взломано более чем 76% общего списка (приблизительно 1,2 млн. паролей), о чем сообщил форумчанам zyx4cba. Ещё через пару минут пользователь LorDHash независимо отчитался о взломе 1,22 млн. паролей, из которых, по его словам, 1,2 млн. являлись уникальными.
Предложенная пользователям InsidePro база была взломана практически полностью в течение нескольких дней. Взлом новой базы, ставшей причиной беспокойства LinkedIn, занял около суток, и продолжался в тот момент, когда новость начала расходиться по Интернету.
По мнению экспертов, пароли из списка, относящегося к пользователям LinkedIn, показывают, что их выбирали люди, работающие в средних и крупных компаниях. На такую мысль наводят комбинации строчных и прописных букв, а также цифр. Это типичные требования политики безопасности в таких организациях.
Команда LinkedIn, получившая изрядную порцию критики по поводу организации защиты паролей своих пользователей, принесла официальные извинения всем, кто пострадал в данном инциденте:
«Мы искренне приносим извинения за неудобства, которые были причинены этим членам нашего сообщества. Мы относимся к безопасности членов нашего сообщества очень серьезно».
Всем, кто попал в «черный список», от имени LinkedIn рассылаются сообщения на электронную почту с описанием дальнейших действий по смене пароля к своему аккаунту.
Пользователям LinkedIn нужно учесть, что процесс смены пароля в связи со взломом подразумевает получение нескольких писем от службы поддержки LinkedIn, причём в первом из этих писем нет никаких активных ссылок.
Подробно процесс получения нового пароля описан в официальном блоге LinkedIn.
