[Warning] (CERT.at Warnung): Mehr als 6 Millionen LinkedIn Passwörter öffentlich einsehbar
L. Aaron Kaplan
kaplan at cert.at
Wed Jun 6 15:55:13 CEST 2012
Aufgrund der Beliebtheit der Webseite LinkedIn haben wir uns
entschlossen, folgende Warnung herauszugeben.
Beschreibung
CERT.at wurde am 6.6.2012 informiert, dass ungefähr 6,5 Millionen
gehashte Passwörter von LinkedIn Benutzern öffentlich im Internet
einsehbar sind. An sich handelt es sich hierbei um gehashte
("verschlüsselte") Passwörter, da es aber mittlerweile relativ einfach
geworden ist, von einem gehashtem Passwort auf den Klartext
zurückzurechnen, empfehlen wir dringend, das eigene Passwort zu ändern.
In den veröffentlichten Dateien sind nur (unsaltet) SHA1 Passwörter.
Das heisst, dass dieses Zurückrechnen noch einfacher ist. In diversen
Foren werden schon die ersten unverschlüsselten Passwörter gepostet.
Dimension des Problems
Laut blogaboutjob.de[1] hatte LinkedIn im August 2011 2 Millionen
Benutzer im deutschsprachigen Raum (versus 4,9 Millionen von XING).
Auswirkungen
CERT.at geht davon aus, dass die Angreifer nicht nur im Besitz der
gehashten Passwörter sind, sondern auch die zugehörigen Benutzernamen
kennen. Betroffen sind potentiell viele LinkedIn Benutzer, deren
Passwort in der Liste ist. Allerdings sehen wir einen langanhaltenden
Trend, dass viele Passwörter auf unterschiedlichsten Diensten
wiederverwendet werden. Somit sind auch diese Accounts gefährdet.
Weiters gehen wir davon aus, da die Hashes öffentlich bekannt sind,
dass diverse Passwort-Cracking Tools verbessert werden.
Empfehlungen
Wir raten somit, erstens einmal das eigene LinkedIn Passwort zu ändern
als auch im eigenen Unternehmen entsprechende Schritte zu setzen.
Ebenso sollte das Passwort auf allen anderen Seiten / Services geändert
werden, auf welchen es wiederverwendet wurde.
Hinweise
Generell empfiehlt CERT.at, auf Webseiten - soweit praktikabel -
verschiedene Passwörter zu verwenden.
__________________________________________________________________
Informationsquelle(n):
1. http://www.blogaboutjob.de/5331/linkedin-startdeutschland-buero
2. http://www.theverge.com/2012/6/6/3067523/linkedin-password-leak-online
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 203 bytes
Desc: Message signed with OpenPGP using GPGMail
URL: <http://lists.cert.at/pipermail/warning/attachments/20120606/b0999a80/attachment.sig>
More information about the Warning
mailing list