Социальная бизнес-сеть LinkedIn признала, что 6,5 утекших хеш-значений паролей действительно относятся к аккаунтам сети, но как они попали к злоумышленникам, остаётся пока загадкой. На этот счёт никаких комментариев со стороны самой компании не поступало.
Как выяснилось, LinkedIn — не единственная жертва взлома: вчера сервис знакомств eHarmony объявил, что «небольшая» часть паролей к его аккаунтам также оказалась в руках злоумышленников. По сведениям Ars Technica, с eHarmony утекло порядка 1,5 млн хеш-значений по алгоритму MD5. Пароли к LinkedIn представляют собой хеши SHA-1.
LinkedIn сраз объявил, что всем пользователям, чьи пароли, по предположению самих администраторов сети, могли достаться взломщикам, будут разосланы соответствующие уведомления и инструкции по смене паролей.
В свою очередь специалисты по безопасности критикуют «служебное нерадение» программистов LinkedIn, допустивших, чтобы пользовательские пароли хранились в виде «простых» хеш-значений, без дополнительного шифрования.
Когда пользователь регистрируется на сайте и вводит свой пароль, система вычисляет для него хеш-функцию, преобразуя последовательность символов, введённую пользователем, в конкретное число. Когда пользователь в следующий раз вводит пароль, система снова вычисляет хеш-значение и сопоставляет его с тем, что хранится в базе данных. Если совпадение есть, пользователь допускается на ресурс. Следует иметь в виду, что разным паролям может соответствовать один и тот же хеш, и, в принципе, подобрать подходящий пароль, по словарю или каким-то иным образом, — дело техники. Чем, собственно, злоумышленники сейчас, судя по всему, и занимаются.
Хотя объёмы утечек что у LinkedIn, что у eHarmony невелики, на репутации компаний они скажутся не лучшим образом.