Nopludinātas Linkedin sociālā tīkla paroles

Internetā parādījušās ziņas par to, ka hakeri ir nopludinājuši sociālā tīkla LinkedIn paroles kontrolsummu, kas ir uzģenerēta ar vāju kriptogrāfisko kontrolsummas ģenerēšanas algoritmu SHA-1. Tas nozīmē, ka ar pietiekamiem datoru resursiem var iegūt šo paroli un izmantot nekrietniem mērķiem.

Nopludinātas apēram 6.5 miljonu paroļu. Diezgan iespaidīgi. Ieteicams ir nomainīt savu veco LinkedIn paroli ar citu, kamēr šo paroli vēl nav sākušas izmantot kādas citas personas.

Kādi citi braši puiši ir ātri izveidojuši vienkāršu lapiņu ar kuras palīdzību var pārbaudīt vai tava LinkedIn parole ir nopludināta, vai nē. Es pārbaudīju un redz, ko ieraudzīju – LeakedIn.org. Pēc tam manuāli salīdzināju ar SHA-1 nopludinātās datubāzes saturu un arī atradu savas paroles kontrolsummu.

Puiši apgalvo, ka viņi pārbauda tikai paroles kontrolsummu, kuru uzģenerē ar JavaScript palīdzību tavā datorā un tad pie “Check” nospiešanas uz serveri nosūta tikai šo nesaprotamo simbolu virkni. Apskatījos kodu un izskatījās tīrs.

Ejam uz LinkedIn lapas Settings un spiežam uz pogas Password Change.

Bet par pašu LinkedIn paroļu noplūšanu var palasīt dažādos resursos.

Habrahabr.ru ar saitēm uz pirmavotiem un bildīti no foruma, kurā bija nopublicēti atkodētās paroles. BusinessInsider, TheNextWeb ar brīdinājumu mainīt paroli tūlīt. LinkedIn paši kaut kā aplinkus motivē lietotājus mainīt paroles, te ir viņu bloga ieraksts par to kā labāk izvēlēties paroli.

32 thoughts on “Nopludinātas Linkedin sociālā tīkla paroles

  1. someone

    Taisniibu sakot vel ir pieejams tas foruma ieraksts. Un iespeejams arii straadaa linki uz pirmavotu sha1 dumpiem.

    Patīk: Thumb up 0 Thumb down 0

    Reply
  2. Jānis

    Man Leakedin teica: Looks like your password was not leaked. Hooray!
    Nekādas LinkedIn aplikācijas neizmantoju, izmantoju tikai pārlūku. Baumo, ka tieši aplikācijas nopludināja hešus..

    Patīk: Thumb up 0 Thumb down 0

    Reply
  3. bubu

    SHA-1 NAV kriptēšanas algorithms. Hešsumas neko nekriptē. Tās hešo. Kriptētas lietas var atkriptēt. Hešsumas nevar atkriptēt. Tām var tikai kolīzijas meklēt.

    Patīk: Thumb up 0 Thumb down 0

    Reply
  4. artisare

    Izmantoju iPhone aplikāciju (ir uzinstalēta, izmantoju ļoti reti), bet mana psw nav noplūdusi.

    Patīk: Thumb up 0 Thumb down 0

    Reply
  5. usver

    “Looks like your password was not leaked. Hooray!”

    Tātad kaut kādā ratā tikai daļa.

    Patīk: Thumb up 0 Thumb down 0

    Reply
  6. usver

    ak, jā – izmantoju tikai pārlūkā, nekādu aplikāciju. reiz pamēģināju, nepārskatāmi, izdzēsu.

    Patīk: Thumb up 0 Thumb down 0

    Reply
  7. BlackHalt

    coolynx, kāds kādu muļķo?
    Tajā sarakstā nav tāda da39a3ee5e6b4b0d3255bfef95601890afd80709 heša, jeb es neprotu meklēt?

    Patīk: Thumb up 0 Thumb down 0

    Reply
  8. INDE

    un tieši tāpēc paroles ir jāglabā ar salt
    ja glabā, tikai sha-1, tad ir lielāki riski.
    piemēram – ir lietotāju DB. un passw. ir saglabāti sha-1 bez salt.

    un ir divi lietotāji, kam paroles ir vienādas. ala “password”. sha-1 tām arī būs viens un tas pats. tādejādi var iegūt vairāk paroles īsākā laikā. savukārt, ja saglabā ar salt, tad sha1 arī atšķirsies.

    labi, ka vēl pliku md5 neizmantoja ;)

    Patīk: Thumb up 0 Thumb down 0

    Reply
  9. BlackHalt

    Nez, nez. Ideāli jau būtu, pieņemsim, katram lietotājam uztaisīt TrueCrypt disku :)
    Tas viss maksā resursus.

    Par sāli – ir jau arī redzēti SQL dumpi tipa:

    usr|md5password|salt
    usr|md5password|salt
    usr|md5password|salt

    Patīk: Thumb up 0 Thumb down 0

    Reply
  10. INDE

    salt tieši tā arī darbojas

    salt|sha1
    un salt ir randoms

    a: sha1(randoms1|parole)
    b: sha1(randoms2|parole)

    rezultātā a != b

    un ja tu dabū tādu dumpu, tad tu nevari patiekt, ka a un b paroles daļas ir vienādas.
    runa nav par paroles drošumu, bet gan par to, ka, ja izmanto salt, paroles atlauzt ir ilgāk.

    Patīk: Thumb up 0 Thumb down 0

    Reply
  11. BlackHalt

    Ja kādam salt pielietošanas mērķis ir saistīts ar “ilgāka bruteforsēšana” vai “ilgāk atlauzt”,
    tad tam salt vispār nevajadzetu pielietot, jo
    salt merķim būtu jābūt = “neiespejams uzlauzt”.
    Tādam vismaz būtu jābut mērķim.

    Patīk: Thumb up 0 Thumb down 0

    Reply
  12. kuule

    kādam noplūst parole, citam atkal noplūst dzīvoklis, jo kaimiņš aizmirsa zigriezt krānu..

    Patīk: Thumb up 0 Thumb down 0

    Reply
  13. Pingback: SEB mājaslapas mobilā versija un aplikācijas | Pods.lv

  14. Nils

    Man saka:
    Your password is incorrect.
    Es rakstu atkal incorrect un iekšā mani nelaiž vienalga!

    Patīk: Thumb up 0 Thumb down 0

    Reply
  15. Pingback: Nopludināti iOS ierīču lietotāju dati | Pods.lv

Leave a Reply

Your email address will not be published.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>