[Warning] (CERT.at Warnung): Mehr als 6 Millionen LinkedIn Passwörter öffentlich einsehbar

L. Aaron Kaplan kaplan at cert.at
Wed Jun 6 15:55:13 CEST 2012 

 
   Aufgrund der Beliebtheit der Webseite LinkedIn haben wir uns
   entschlossen, folgende Warnung herauszugeben.

Beschreibung

   CERT.at wurde am 6.6.2012 informiert, dass ungefähr 6,5 Millionen
   gehashte Passwörter von LinkedIn Benutzern öffentlich im Internet
   einsehbar sind. An sich handelt es sich hierbei um gehashte
   ("verschlüsselte") Passwörter, da es aber mittlerweile relativ einfach
   geworden ist, von einem gehashtem Passwort auf den Klartext
   zurückzurechnen, empfehlen wir dringend, das eigene Passwort zu ändern.
   In den veröffentlichten Dateien sind nur (unsaltet) SHA1 Passwörter.
   Das heisst, dass dieses Zurückrechnen noch einfacher ist. In diversen
   Foren werden schon die ersten unverschlüsselten Passwörter gepostet.

Dimension des Problems

   Laut blogaboutjob.de[1] hatte LinkedIn im August 2011 2 Millionen
   Benutzer im deutschsprachigen Raum (versus 4,9 Millionen von XING).

Auswirkungen

   CERT.at geht davon aus, dass die Angreifer nicht nur im Besitz der
   gehashten Passwörter sind, sondern auch die zugehörigen Benutzernamen
   kennen. Betroffen sind potentiell viele LinkedIn Benutzer, deren
   Passwort in der Liste ist. Allerdings sehen wir einen langanhaltenden
   Trend, dass viele Passwörter auf unterschiedlichsten Diensten
   wiederverwendet werden. Somit sind auch diese Accounts gefährdet.
   Weiters gehen wir davon aus, da die Hashes öffentlich bekannt sind,
   dass diverse Passwort-Cracking Tools verbessert werden.

Empfehlungen

   Wir raten somit, erstens einmal das eigene LinkedIn Passwort zu ändern
   als auch im eigenen Unternehmen entsprechende Schritte zu setzen.
   Ebenso sollte das Passwort auf allen anderen Seiten / Services geändert
   werden, auf welchen es wiederverwendet wurde.

Hinweise

   Generell empfiehlt CERT.at, auf Webseiten - soweit praktikabel - 
   verschiedene Passwörter zu verwenden.

     __________________________________________________________________

   Informationsquelle(n):
   1. http://www.blogaboutjob.de/5331/linkedin-startdeutschland-buero
   2. http://www.theverge.com/2012/6/6/3067523/linkedin-password-leak-online

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 203 bytes
Desc: Message signed with OpenPGP using GPGMail
URL: <http://lists.cert.at/pipermail/warning/attachments/20120606/b0999a80/attachment.sig>

More information about the Warning mailing list