Недавно по системе безопасности социальной сети Linkedin был нанесён серьёзный удар: неизвестным хакерам удалось похитить более 6,5 млн. хэшей паролей от учетных записей пользователей.
Компания попыталась успокоить пользователей надежным шифрованием паролей. Однако позже пользователи обнаружили хэши своих паролей в текстовом файле объемом 265 МБ, который злоумышленники выложили в открытый доступ. Косвенным подтверждением достоверности этого файла может служить тот факт, что в нем содержится большое количество специфических паролей для LinkedIn. Например, наряду с самыми распространенными паролями, таких как «password», «passw0rd», «secret», встречаются «I1nkedIn», «linkedout», «recruiter», «recru1ter» и другие. Интересно, что некоторые пользователи утверждают, что их пароль был достаточно сложным.
Пароли, зашифрованные при помощи методики SHA-1, всегда имеют одно и то же присвоенное им хэш-значение. Например, хэш пароля «LinkedIn» всегда будет выглядеть как «7728240c80b6bfd450849405e8500d6d207783b6». Такая слабая защита паролей делает атаки по словарю более эффективными и значительно упрощает действия хакеров.
Руководство LinkedIn признало, что украденные пароли подходят к учетным записям пользователям. Социальная сеть заблокировала все учетные записи пользователей с украденными паролями, чтобы тем самым предотвратить попытки взломов аккаунтов. Пострадавшим пользователям отправлены письма по электронной почте с инструкциями по восстановлению паролей.
Напомним, что аудитория деловой социальной сети LinkedIn насчитывает примерно 150 миллионов человек по всему миру – таким образом от атаки хакеров пострадало около 4% её пользователей.