Uitgelekte LinkedIn-database verschijnt online als download

De Britse ontwikkelaar Thomas White, ook wel bekend onder de naam Cthulhu, heeft de volledige LinkedIn-database online gezet die in mei te koop werd aangeboden. De database bevat de inloggegevens van 117 miljoen LinkedIn-gebruikers.

Eind mei bevestigde LinkedIn dat de gegevens uitgelekt waren, die eerder die maand online te koop werden aangeboden voor een prijs van vijf bitcoin, omgerekend ongeveer 2000 euro. White biedt nu de database, die bestaat uit meerdere tekstbestanden in een rar-archief van 6,9GB, als torrent-download aan. Dit betekent dat de gegevens voor een grote groep mensen beschikbaar zijn. Het kraken van de met sha1 gehashte wachtwoorden is zonder salt geen grote moeite.

White heeft eerder onder zijn Cthulhu-naam uitgelekte databases gehost, bijvoorbeeld van de hack op datingsite Ashley Madison en de gegevens van het Italiaanse bedrijf Hacking Team. Het is onduidelijk of Cthulhu van plan is om ook de uitgelekte Tumblr- en MySpace-databases te hosten zodra deze beschikbaar zijn.

Ook 33 miljoen inloggegevens van Twitter werden online te koop aangeboden. Het bedrijf maakte vrijdag bekend een reset van de wachtwoorden van de getroffen accounts te hebben uitgevoerd. Daarbij zou het om 'miljoenen accounts' gaan. Het bedrijf ontkent dat er sprake is van een hack. De recente datalekken maken opnieuw het belang van unieke en sterke wachtwoorden duidelijk, na online verschijnen van de gegevens werd op verschillende gebruikersaccounts ingebroken, waaronder het Twitter-account van Mark Zuckerberg.

IT-banen

Reacties (102)

Remcom00 10 juni 2016 18:07

Mocht je bang zijn dat jou account er ook bij zit kun je het onder andere hier checken: https://haveibeenpwned.com/

Anoniem: 780343 @Remcom00 • 10 juni 2016 19:47

Het aantal databases wat Troy Hunt op zijn website heeft staan is zeer gelimiteerd.
Er zijn andere sources met veel meer informatie aanwezig.

Zoals http://vigilante.pw waar meer dan 1000 databases worden gelist.
Hier zal je echter alleen de database / bedrijfsnaam tegen komen en is de data niet toegankelijk.

Je hebt ook nog LeakedSource, welke je moet betalen om door de gehackte informatie te zoeken.

Verder VER voordat Troy hunt ooit begon met HIBP , was er pwndlist.
En oooh jeeh, ik weet niet wel of het zo'n goed plan is dat Troy Hunt deze informatie beschikbaar stelt.
Want ja. Wat is een mooiere plek voor een hacker om data te vinden dan bij :

http://krebsonsecurity.co...-the-pwnedlist-got-pwned/

Bezint eer ge begint....

SBTweaker @Remcom00 • 10 juni 2016 18:13

En wat gebeurt er met je email adres denk je?

waktak @SBTweaker • 10 juni 2016 18:22

En wat gebeurt er met je email adres denk je?

Daar hoef je je denk ik geen zorgen over te maken. Founder van de site is Troy Hunt. Een vooraanstaand beveiligingsexpert en een hoge pief bij microsoft. Ik denk niet dat hij zijn reputatie op het spel zal zetten en gekke dingen met jou email adres zal doen.

SteveWoz @waktak • 10 juni 2016 19:11

Daar was eerder ook al commentaar over: Troy Hunt is geen hoge pief bij Microsoft. Hij is een Regional Director, wat een groep van onafhankelijke ontwikkelaars is.

Anoniem: 1322 @SteveWoz • 10 juni 2016 19:22

Tja, daar kan commentaar op zijn maar als er iets met de mailadressen gebeurd is hij de sjaak met zijn reputatie erbij. Je weet ten minste wie het is en niet een of andere vage website. Heb je trouwens dan ook nog een beteralternatief om te volgen op je account gelekt is?

Nha @Anoniem: 1322 • 11 juni 2016 20:41

Heb je trouwens dan ook nog een beteralternatief om te volgen op je account gelekt is?

Gewoon je wachtwoord aanpassen en dan maakt het weinig uit of je account gelekt is of niet want met die kennis kan je verder ook niks doen.

Znorkus @Nha • 11 juni 2016 21:41

Als je gehackt bent dan weet je dat je ditzelfde wachtwoord ook op alle andere locaties kunt gaan wijzigen.

Nha @Znorkus • 12 juni 2016 11:44

Als je echt inzit met veiligheid en privacy dan gebruik je hetzelfde wachtwoord al niet op meer dan 1 plaats.

Anoniem: 1322 @Nha • 11 juni 2016 22:37

Tuurlijk wel. Hoe weet je anders of je gehacked bent? Hij houdt database dumps in de gaten en weet veel eerder dat je account gehacked dan je dat hier op tweakers leest.

Nha @Anoniem: 1322 • 12 juni 2016 11:46

En waarom moet je weten of jouw account gehacked is? Zo'n site check je toch pas eens je gehoord hebt dat een site waar jij een account hebt zijn gegevens verloren heeft of gestolen werd. Het moment dat je dat hoort of leest ga je simpelweg je wachtwoord veranderen. Het maakt helemaal niet uit of jij in die lijst zit. Wachten tot je weet of je er ook tussen zit is gewoon dom (of lui).

Anoniem: 1322 @Nha • 12 juni 2016 16:27

De site checked datadumps op het darknet. Niet iets waar ik dagelijks op te vinden ben... De site is meestal een stuk sneller met het melden van je hier op een nieuws site leest. Het is niet dom of lui, het is gewoon een eerste melding zodat je weet dat er iets fout is.. Of werk jij al je wachtwoorden iedere maand bij op alle websites?

Ik heb het gevoel dat je niet eens snapt wat de site doet en alleen maar aan het flamen bent..

Nha @Anoniem: 1322 • 18 juni 2016 00:44

Tenzij jij dagelijks gaat checken is die helemaal niet rapper. En als je zo paranoid bent dat je dagelijks gaat checken kan je inderdaad even goed dagelijks je wachtwoorden gaan aanpassen. Dan zit je nog beter.

Anoniem: 1322 @Nha • 18 juni 2016 01:14

Tenzij jij dagelijks gaat checken is die helemaal niet rapper.

Get notified when future pwnage occurs and your account is compromised.

Je hebt die hele website nog nooit gezien, blijkbaar...

Was men laatste reactie trouwens, hop in de ignore lijst

Nha @Anoniem: 1322 • 18 juni 2016 11:37

Want emails dienen niet gechecked te worden? Ik heb die website gezien en vind het maar een hoop geleuter. Ik check mijn email niet meer dan andere sites waar ik het even rap ga weten. Daar hoef ik dan niet weer 5 email adressen (welke ik trouwens niet allemaal even vaak check) voor te controleren. En die adressen wil ik ook niet op een enkele site aan elkaar gelinked hebben.

Dus nee, ik vind het maar een tamme site die voor mij niks nut heeft. Voor jou blijkbaar wel, goed zo. Maar dat maakt het niet een noodzakelijke website. Ik vind het net zo dom dat jij er wel gaat checken dan dat jij het dom vind dat ik het maar een zwakke site vind.
Oh well, voel je je nu maar superieur met je eigen ideetjes *pats dycell on the head* zielig

geertdo @waktak • 11 juni 2016 01:14

I don't work for Microsoft

https://www.troyhunt.com/about/

xoniq @SBTweaker • 10 juni 2016 18:14

Die hebben ze al ..

Ik heb mezelf zelfs aangemeld voor notificaties, met enkel datzelfde e-mailadres. Krijg netjes mailtjes zodra ik voorkom in een lijst.

SBTweaker @xoniq • 10 juni 2016 18:15

Stel je bent niet gehackt bedoel ik, dan hebben ze nu je mail adres.

xoniq @SBTweaker • 10 juni 2016 18:18

En dan? Ik krijg niet meer spam door het aanmelden of checken.

Die site is sws niet van een onbekend iemand, en bestaat al wat jaren. Nooit negatief in het nieuws gekomen.

Als ik ergens dit soort dingen zou willen checken, dan juist tegenover andere sites die zulke dingen aanbieden.

Remcom00 @SBTweaker • 10 juni 2016 18:16

De eigenaar van deze website werkt voor MS, kan niet zo veel mis gaan lijkt me.
https://haveibeenpwned.com/About

En je email adres is zo gemakkelijk te vinden tegenwoordig als iemand je iets kwaad wil doen dus dan zou ik me hier totaal geen zorgen over maken.

Fexxman @Remcom00 • 10 juni 2016 19:17

Sorry hoor maar dit is geen microsoft employee. Een regional director is geen actieve functie, evenals een MVP. Laat staan een hoge pief.

[Reactie gewijzigd door Fexxman op 22 juli 2024 14:16]

z1rconium @Remcom00 • 10 juni 2016 18:21

Check even de geldigheid van het certificaat op die site ? Zeer dubieus.

Remcom00 @z1rconium • 10 juni 2016 18:23

Wat is daar zo raar aan?
Is gewoon geldig en er staat ook niks geks in.

pennywiser @z1rconium • 10 juni 2016 18:26

Is gewoon StartSSL niks mis mee.

RebelwaClue @Remcom00 • 10 juni 2016 19:20

Thanks, weet nu gelijk dat ik mn ww moet wijzigen. Ik ben dus pwned op LinkedIn

satya @RebelwaClue • 10 juni 2016 20:19

Ik ook

Anoniem: 134660 @RebelwaClue • 12 juni 2016 10:09

Ik ook, maar bij LinkedIn kan je heel eenvoudig twee-factor authenticatie inschakelen. Op die manier moeten ze ook nog je telefoon hebben om toegang te krijgen. Altijd inschakelen dus.

RebelwaClue @Anoniem: 134660 • 12 juni 2016 14:43

Ga ik ook zeker doen, ben al lang blij dat ik op linkedin een wachtwoord gebruik die ik elders niet gebruik.

Znorkus @Remcom00 • 11 juni 2016 21:39

Dankjewel Remcom dat scheelt een hoop gesodemieter.

ojeewatnu 10 juni 2016 18:12

Als je het nog niet hebt gedaan raad ik je aan 2 traps verificatie in te stellen (extra code via je mobiel).
Zo valt je account moeilijk te hacken, ook al hebben ze je wachtwoord. Zelf heb ik dat al tijd geleden ingesteld bij LinkedIn, maar ook bij Gmail en Outlook

xoniq @ojeewatnu • 10 juni 2016 18:19

Een goede suggestie, maar nog altijd nooit waterdicht. Het 'wachtwoord'-principe is sowieso achterhaald. Tijd voor nieuwe authenticatie vormen.

P_Tingen @xoniq • 10 juni 2016 18:49

Just curious ...

Op LinkedIn heb ik dubbele verificatie aan staan. Als jij je zou aanmelden met mijn login en wachtwoord op jouw computer dan moet je een code intypen die per sms naar mijn telefoon wordt gestuurd. Aannemend dat jij niet mijn telefoon hebt, hoe zou je er dan in moeten komen? Waar zit dan het lek?

GekkePrutser @P_Tingen • 10 juni 2016 19:13

Een telefoon is ook te hacken. Dat is het punt. Iemand die je echt wil hacken heeft dan alleen een extra stap te nemen.

Iets als een smartcard met een RSA certificaat er op is beter want dat certificaat kan je er niet uithalen (de keys worden gegenereerd door de kaart zelf en de private key kan niet uitgelezen worden). Dus dat valt niks aan te hacken. Dit principe bewijst zich al jaren als de EMV kaart (pinpas met chip)

Maar in inderdaad een two factor oplossing zoals SMS geeft al enorm veel extra veiligheid.

markimarc

@P_Tingen • 11 juni 2016 08:46

Doormiddel van de sms? Bekijk dan even deze twee video's;
https://youtu.be/fDJ-88e_06A
https://youtu.be/dkvQqatURdM

Werkt dan ongeveer hetzelfde bij andere diensten.

P_Tingen @markimarc • 11 juni 2016 21:21

Hmm. Inderdaad niet waterdicht nee. Nasty...

kozue @xoniq • 10 juni 2016 23:58

De meeste (alle?) niet-wachtwoord gebaseerde vormen van authenaticatie knopen die authenticatie aan de service, software of hardware van een commercieel bedrijf. Ik zit er niet op te wachten dat ik van een of ander bedrijf afhankelijk ben voor het inloggen bij andere, niet-gerelateerde, diensten. Zo'n bedrijf krijgt daar een hoop macht mee en als persoon zit je met een vendor lock-in. Zelfs met sms-verificatie wordt je nog afhankelijk van je telefoonprovider (plus dat je overal je telefoonnummer af moet geven).
Wachtwoorden zijn zo gek nog niet, zolang ze maar goed geimplementeerd worden. MD5/SHA1 hashes opslaan in een database kan al vele jaren niet meer door de beugel.

SuperDre @xoniq • 11 juni 2016 17:19

Aan de andere kant is elke andere variant voor inloggen hetzelfde als met een wachtwoord...

koku Senior Developer 10 juni 2016 23:10

Interessant is ook dat je nu op basis van iemands LinkedIn ID het e-mailadres kan vinden. En het LinkedIn ID kan je makkelijk achterhalen, ook als je geen connectie hebt. Voor sommige mensen misschien reden om hun LinkedIn-account op te zeggen. Ideaal voor recruiters ook...

josttie 10 juni 2016 18:08

Ik snap niet dat een bedrijf als LinkedIn geen salt gebruikt, jaren geleden op de eerste php tutorial die ik volgde over inloggen zat dat er in, lijkt mij toch redelijk basaal? Weet iemand toevallig of er ook een tool is waarbij je kan checken of jou gegevens er tussen zitten zonder door 6.9 gb aan data heen te gaan?

Ahh ik zie de reactie hierboven van Remcom00: https://haveibeenpwned.com

Aj zowaar bij 3 websites

[Reactie gewijzigd door ACM op 22 juli 2024 14:16]

ACM Software Architect @josttie • 10 juni 2016 18:56

Dit gaat natuurlijk wel om een hack uit 2012. Op zich had een dergelijke grote partij het ook toen al goed moeten doen, maar het is dus niet iets dat in 2016 pas is vastgesteld

heval @josttie • 10 juni 2016 19:39

Als je erbij zit, is je wachtwoord in plain text te vinden? Want dan hebben mensen echt een probleem

josttie @heval • 10 juni 2016 20:52

Nee, alleen een rapport met welke websites het betreft.

SmokingCrop @heval • 10 juni 2016 22:33

Het is trouwens niet omdat je op die site voorkomt, dat je dan ook effectief "gepwnd" bent. Je email met hash komt dan gewoon voor in de lijst. Als je een lekker lang, moeilijk te kraken wachtwoord hebt, dan ben je wellicht nog niet gepwnd. De kans is er echter wel.

twslex @josttie • 10 juni 2016 19:30

Het leuke aan die site, die meld dat ik bij forums geweest ben waarvan ik het bestaan niet wist...
Ik trek die site in twijfel.

josttie @twslex • 10 juni 2016 20:51

Ik niet, gratis webhost lijkt me relatief specifiek welke je gebruikt en deze gebruikte ik inderdaad.

RoestVrijStaal 10 juni 2016 18:34

Wat is het motief van die Thomas White om zoiets merkwaardigs als een uitgelekte database met gevoelige informatie publiekelijk online zetten, in de wetenschap dat andere partijen er last van krijgen?

Op zo'n manier krijgt hij er toch 117 miljoen vijanden bovenop de miljoenen gedupeerde gebruikers van Tumblr en MySpace erbij?

[Reactie gewijzigd door RoestVrijStaal op 22 juli 2024 14:16]

Anoniem: 780343 @RoestVrijStaal • 10 juni 2016 18:50

Het motief hiervoor is een bekend motief.

Informatie behoort publiekelijk te zijn.

Nou sta ik persoonlijk niet achter dit concept. Maar ben wel van mening dat het eindelijk eens een keer wat zal doen aan de 12345 password mentaliteit van mensen.

SteveWoz @Anoniem: 780343 • 10 juni 2016 19:14

Informatie behoort niet per definitie publiekelijk te zijn (denk aan 'ignorance is bliss'). Ik vind het ook kwalijk dat dit zomaar wordt gedeeld. Ik vraag me af in hoeverre dit legaal mag en waarom deze meneer graag wilt dat 13-jarige scriptkiddies accounts gaan "kapen".

Anoniem: 780343 @SteveWoz • 10 juni 2016 19:36

Ik heb helaas weinig mensen gehoord over het legale aspect over de Panama Papers.
Deze kwamen bij een bedrijf genaamd Mossack Fonseca vandaan..

Laat dit nou ook een gehackte dataset zijn. Welke door een groep journalisten beschikbaar wordt gesteld.

En onze belastingdienst maakt er graag gebruik van.

waarom wordt dit nu anders gezien

Linkedin Hack vs Mossack Fonseca Hack
linkedin gebruikers vs Mossack Fonseca klanten

Heeft het ene bedrijf andere rechten? en behoren de slachtoffers dan ook een andere behandeling te krijgen?

Anoniem: 721667 @Anoniem: 780343 • 10 juni 2016 20:10

In de grote-mensen-wereld wordt onderscheid gemaakt tussen mensen/bedrijven die iets misdaan hebben, en mensen die onschuldig zijn. Het mag duidelijk zijn dat het gebruik van LinkedIn geen reden is om iemand als verdachte of schuldige te behandelen.

Anoniem: 780343 @Anoniem: 721667 • 10 juni 2016 20:23

Ik denk juist dat hier de 'Grote-mensen' wereld nog wel eens het probleem kan zijn.
Het gaat om de legaliteit, en in Nederland heb je een Wet.
Of een hoop grote mensen daar heel van van vinden, veranderd helemaal niks aan de wet, en ook niet aan de situatie die er ligt.

Los staande dus of iemand iets misdaan heeft of niet.
Het is precies hetzelfde als iemand deze informatie gebruikt die hij publiekelijk op het internet vindt, of als een overheid dat doet.

Het zijn en blijven gegevens afkomstig uit een hack of lek

Anoniem: 721667 @Anoniem: 780343 • 10 juni 2016 22:27

"Het is precies hetzelfde als iemand deze informatie gebruikt die hij publiekelijk op het internet vindt, of als een overheid dat doet."
Nee, juist niet.
Een overheid (instanties zoals belastingdienst, politie) heeft opsporingsbevoegdheid. Daarvoor mag men verder gaan dan gewone burgers. Dit ligt vast in de wet.

Anoniem: 780343 @Anoniem: 721667 • 11 juni 2016 20:56

Als je mensen met de 'wet' om de oren wilt gaan slaan, dan zou ik voortaan toch wat beter onderzoek doen.

https://www.security.nl/p...e+mailbox+rechtsgeldig%3F

Anoniem: 721667 @Anoniem: 780343 • 11 juni 2016 23:36

Sorry, maar de Nederlandse wet is niet van toepassing in Panama. Graag een verwijzing naar de lokale wetgeving.

Overigens, als er in nederland een verdenking tegen een bedrijf is, dan kan de politie/OM zich wettelijk toegang verschaffen tot e-mail. Bedrijven zijn verplicht data jarenlang te bewaren om eventuele onrechtmatigheden te kunnen aantonen. Een bedrijf is geen spelletje.

RoestVrijStaal @Anoniem: 780343 • 10 juni 2016 20:51

Bij de Panama Papers is het anders.

Er werd eerst door een collectief van journalisten in de gelekte data gegrasduind en feiten check gedaan. Totdat er sprake was dat het nieuws dat eruit komt feitenlijk onderbouwd kon worden, werd het pas uitgebracht.

Dat is dus in tegenstelling tot wat Thomas White doet; De zowat 2.6 Terabytes van de Panama / Mossack Fonseca Papers is niet domweg op het internet gezet. De LinkedIn-database wel.

Anoniem: 780343 @RoestVrijStaal • 10 juni 2016 21:26

Daar ben ik het mee eens, dat er een verschil is in hoe het geleaked wordt.

Feit blijft dat beide databases uit een hack voortkomen.
Of de ene database nou 'slechte' mensen bevat, en de andere 'heilige' mensen is niet relevant voor de vraag of het illegaal is om dus data die uit een hack voortkomt publiekelijk te maken.

Er wordt hier gewoon met verschillende maten gemeten. Privacy is Privacy, of je doet er wel aan en respecteert het, of we schaffen het toch gewoon af online?
Of moeten we voor verschillende mensen verschillende behandelingen in een zelfde situatie gaan opleggen?

Anoniem: 721667 @Anoniem: 780343 • 10 juni 2016 22:30

De situatie is niet hetzelfde. Zakelijke contacten van Mossack Fonseca worden verdacht van schimmige praktijken. Het merendeel van de bevolking niet.

Anoniem: 780343 @Anoniem: 721667 • 11 juni 2016 19:51

Het hebben van een offshore bedrijf houdt helemaal niet in dat er belastingontduiking is gepleegd.

In Nederland is iemand nog altijd onschuldig totdat het tegendeel bewezen is. Daarom hebben we gelukkig rechters die iemand een eerlijk proces geven. En oordelen mensen zoals jou niet over of iemand schuldig is of niet.

Anoniem: 721667 @Anoniem: 780343 • 11 juni 2016 23:27

Dat doe ik ook niet. Sowieso gaat het niet over mij, maar over de uitvoerende macht. Als er een verdenking is, dan biedt de wet hen extra bevoegdheden.

Anoniem: 780343 @Anoniem: 721667 • 11 juni 2016 23:32

Dat klopt, en dat is ook heel erg goed!

alleen er zitten gewoon enorme mazen in de wet betreffende gebruik van gehackte data.
Er is hier al vaker van alles over aan de hand geweest:

http://nos.nl/artikel/208...kbevoegdheid-politie.html

http://taxlive.nl/-/belas...ches-nog-steeds-gebruiken

http://www.volkskrant.nl/...ren-dokken-maar~a3222249/

Anoniem: 721667 @Anoniem: 780343 • 11 juni 2016 23:42

Mensen gaan niet zomaar iedereen hacken. Dat doen ze alleen als er een redelijke verdenking is. In het geval van de PP geldt: waar rook is, is vuur.

Anoniem: 84766 @SteveWoz • 10 juni 2016 19:29

Ehm, het is allang bekend bij kwaadwillenden, dus beter dat het nu publiekelijk bekend is wat mij betreft.

Mijn account zat destijds niet bij originele bestand dat gelekt was bij LinkedIn. Blijkbaar zat ik er dus wel bij in dit totale bestand. Had dit graag eerder geweten.

Tweak-Freak 10 juni 2016 18:07

Toch behoorlijk balen dat deze gehackte informatie nu nog makkelijker toegankelijk wordt gemaakt.
Hoe kan ik achterhalen of mijn Linked-in acount ook bij de gehackte accounts zit?

Wraldpyk @Tweak-Freak • 10 juni 2016 18:09

Bij https://haveibeenpwned.com/ kun je je email adres invullen om te kijken bij welke hacks/leaks you email adres er bij zat.

xoniq @Wraldpyk • 10 juni 2016 18:18

Meld je ook gelijk aan voor notificaties. Werkt voortreffelijk.

Dysmael @Tweak-Freak • 10 juni 2016 18:12

Kan ik je over 3 minuten vertellen. Vlotte torrent: 34MB/s momenteel.

telenut @Dysmael • 10 juni 2016 19:42

Kan ik je over 3 minuten vertellen. Vlotte torrent: 34MB/s momenteel.

kan je mijn account (telenut) er uit vissen en me mijn wachtwoord bezorgen?
Kwestie van na te zien of ik dat ww niet op nog andere sites gebruik;...

tweazer @telenut • 10 juni 2016 23:17

gevonden (** mag je zelf nadenken):
1.sql.txt:INSERT INTO idemail VALUES ('2*********************9', 'linke********@telenut.be');
1.sql.txt:INSERT INTO idemail VALUES ('8********************9', 'telen****@ml**wb.n**');

telenut @tweazer • 12 juni 2016 19:51

hoi, bedankt om het op te zoeken! had eigenlijk al moeten laten weten dat ik het zelf ook gevonden had :-)
Met die info ben ik trouwens niet zo veel, wou weten welk wachtwoord ik gebruikt had op het moment van de hack. En dat heb ik dus ook gevonden nu. Nu nog zoeken of ik dat op andere sites ook heb gebruikt...

tweazer @telenut • 15 juni 2016 09:15

Als ik naar deze entries kijk zie ik geen wachtwoord, eerder een ID waar een email account bij hoort wat mogelijk van je is. Veel van de password entries die ik zie zijn echt kleuterklas niveau. Ik kan geen onderscheid maken of dit initial passwords of low level gebruikers die een profiel van 60US$ bij microsucks (not invented here TM) hebben aangemaakt.

Anoniem: 132566 @Dysmael • 10 juni 2016 20:22

En? Heb je al wat gevonden?

Dysmael @Anoniem: 132566 • 10 juni 2016 20:39

Anderen hebben betere methoden gepost en mijn opmerking was sarcastich bedoeld. Als reactie op vraag van anderen hoe ze konden achterhalen of ze er tussen stonden. Nou; door te downloaden en zelf onderzoek te doen dus. Vind mijn mailadres helaas ook terug in de gelekte documenten.

Anoniem: 132566 10 juni 2016 19:28

Maar zijn deze passwords nu nog valide? Is er niks gereset door LinkedIn, sinds die tijd?
Lijkt mij aardig laks als deze data nog steeds toepasbaar is?

[Reactie gewijzigd door Anoniem: 132566 op 22 juli 2024 14:16]

GekkePrutser @Anoniem: 132566 • 10 juni 2016 21:56

Mijn paswoord is niet gereset geweest nee, tot ik het zelf deed.

jesse111 @Anoniem: 132566 • 10 juni 2016 22:49

Tuurlijk is de data nog toepasbaar, heel veel mensen recyclen hun wachtwoord. Grote kans dat je kan inloggen op andere sites met hetzelfde wachtwoord & email adres van de personen die in de DB staan.

Anoniem: 204567 10 juni 2016 19:20

Het kraken van de met sha1 gehashte wachtwoorden is zonder salt geen grote moeite.

Dat lijkt me een erg boude uitspraak. Als je alleen de sha1 hash d17e5e8299ab1cc99d59ccbe61f65dc13594de46 hebt, hoe ga je daar dan het wachtwoord Ef3=jBd^KL%1T*:0B-Dw uit kraken?

SmokingCrop @Anoniem: 204567 • 10 juni 2016 19:31

het gaat niet in 1-2-3, maar door eerdere cracks en bruteforcing hebben ze zeer grote (vele miljarden groot) sha1 hash databases waarmee ze het kunnen vergelijken. Een heel groot procent zullen ze eruit kunnen halen. Hoe beter je wachtwoord, hoe langer het zal duren voor ze het weten.
Moest je dit met een formule kunnen, was de uitvinder onmiddellijk schatrijk. (compressie mogelijkheden zouden dan ongelooflijk zijn)

[Reactie gewijzigd door SmokingCrop op 22 juli 2024 14:16]

Anoniem: 780343 @SmokingCrop • 10 juni 2016 20:00

Het kost over het algemeen vrij weinig tijd om een lijst passworden te ontcijferen.
Binnen 2 dagen was 75% van de linkedin database al gecracked en stonden er al delen van linkedin online.

Hier bestaan gewoon standaard tools voor zoals 'hashcat' of 'john'

ER bestaat maar een manier om dit tegen te gaan.
gebruik aparte emails voor aparte accounts.
mocht je een eigen domein openen, dan had je tweakers@domain.nl moeten kiezen voor je registratie email hier. En deze nergens anders gebruiken
Ook had je hier een apart paswoord voor moeten kiezen. En dit ook niet op andere plekken herhalen.
Mocht je nou in ene email anders dan van tweakers op je tweakers@ email ontvangen..
dan zou ik de admin toch een emailtje sturen dat het best wel eens zou kunnen dat...

Anoniem: 204567 @SmokingCrop • 10 juni 2016 22:16

Korte of veel voorkomende wachtwoorden zijn indd snel gekraakt. Maar met goede wachtwoorden maken ze volgens mij nog steeds geen schijn van kans.

Een database van vele miljarden hashes stelt echt helemaal niets voor t.o.v. semi-random wachtwoorden van 15+ tekens.

SmokingCrop @Anoniem: 204567 • 10 juni 2016 22:21

Met goede wachtwoorden maken ze idd niet veel kans. Ze zullen ook niet specifiek jouw account eruitnemen en daarop bruteforcen tot ze het vinden. Daarvoor zijn wij niet belangrijk genoeg. Het gaat ze om de massa en de grootste massa mensen gebruiken geen goede wachtwoorden.

Interessante analyse daarvan: https://www.leakedsource.com/blog/linkedin
753k mensen die 123456 gebruiken voor hun linkedin account..

Het punt is gewoon dat als ze hier een lange onbekende salt aan toegevoegd hadden, geen enkel wachtwoord geweten kon zijn. Daarom is het nu dus "geen grote moeite" (75%+ in minder dan een week vs 0%).

[Reactie gewijzigd door SmokingCrop op 22 juli 2024 14:16]

GekkePrutser @Anoniem: 204567 • 10 juni 2016 22:01

De tool oclHashcat in combinatie met een moderne GPU knalt daar echt hard doorheen. Het is echt cool, eigenlijk heb je een supercomputer van een jaar of 10-15 geleden in huis.

Niet dat je in een paar minuten alles gaat bruteforcen natuurlijk maar de simpele paswoorden heeft hij zo.

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 14:16]

Anoniem: 204567 @GekkePrutser • 10 juni 2016 22:15

Door een password van 20 karakters? Dat zijn ±2¹²⁰ bits. Ik geloof er geen reet van dat een "normale" snelle PC met een snelle GPU dat in afzienbare tijd kan.

GekkePrutser @Anoniem: 204567 • 10 juni 2016 22:58

Nee natuurlijk niet. Maar de meeste mensen gebruiken geen paswoorden van 20 karakters. En ook niet Random. Je kan een heleboel vinden met rulesets die bijvoorbeeld woordenlijsten testen met dan nummer combinaties er achter.

Dat is ook de reden dat ze na een paar dagen 75% van de paswoorden hadden gedecodeerd en niet 100%. De paswoorden van 20 tekens zijn nog lang niet binnen bereik.

Edit: Ah ik zie nu dat je zo'n paswoord als voorbeeld noemde, had ik even overheen gelezen. Nee dat gaat natuurlijk niet lukken. Maar je maakt gebruik van het verschijnsel dat de meeste mensen lui zijn. De mens is nog altijd de zwakste schakel

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 14:16]

tomtom137 10 juni 2016 18:14

Ondanks dat ik het niet helemaal netjes vind dat een ontwikkelaar allereerst probeert geld te verdienen aan een database van wachtwoorden en deze vervolgens publiekelijk aanbiedt (in plaats van de betreffende website op de hoogte te stellen van de zwakke beveiliging) hoop ik wel dat het webmasters wakker schudt om wachtwoorden beter te hashen/beveiligen. Daarnaast zou het ook goed zijn gebruikers beter in te lichten over het beveiligen van hun account (zoals het aangeven van hun wachtwoord sterkte, hen te wijzen op tools als 1Password, etc.) en two-factor authentication in te voeren. Voor zover ik kan zien is dat bij LinkedIn in elk geval nog niet mogelijk, bij Facebook bijvoorbeeld wel.

Edit: zo te zien is het inmiddels wel mogelijk two-factor authentication in te schakelen bij Linkedin. M.i. zouden ze hier gebruikers wel beter op kunnen wijzen.

[Reactie gewijzigd door tomtom137 op 22 juli 2024 14:16]

Anoniem: 780343 @tomtom137 • 10 juni 2016 18:46

Zorg wel dat je je feiten op een rij hebt voordat je iemand valselijk beschuldigd.

De Linkedin hack is op het darkweb op de marketplace The Real Deal te koop gezet door peace.
Op bijna hetzelfde moment is linkedin bij LeakedSource terecht gekomen.
Ook Tessa88 was al eerder op andere forums in het bezit van de Linkedin database.

Cthulhu , oftewel Thomas White, heeft de database ook in handen gekregen. En deze volledig beschikbaar gesteld via zijn website.

Dit gaat dus om verschillende personen.

GekkePrutser 10 juni 2016 19:00

Is hij ook al te vinden op Usenet? Dat gaat een stuk sneller.

Ik heb al gekeken op de gebruikelijke sites maar daar zie ik hem niet.

Dysmael @GekkePrutser • 10 juni 2016 20:42

Staat gewoon op de site van thecthulhu zoals in het artikel vermeld.
https://linkedin.thecthulhu.com/

GekkePrutser @Dysmael • 10 juni 2016 21:55

Ja maar dat zijn dus torrents. Die doe ik liever niet vanwege de snelheid maar ook de privacy (immers je IP is te zien). Ik heb geen actief VPN account waar ik even 7gb kan verstouwen

Alleen gratis tunnelbear van 500MB. Dus ik hoop dat iemand hem ook op Usenet post.

Overigens is mijn interesse vooral academisch

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 14:16]

SmokingCrop @GekkePrutser • 10 juni 2016 19:24

met de juiste duckduckgo zoektermen/filter kan je hem op nr 1 van de resultaten vinden

Komt hier over VPN aan 13+ MBps binnen (limiet van de VPN).

[Reactie gewijzigd door SmokingCrop op 22 juli 2024 14:16]

Op dit item kan niet meer gereageerd worden.

Uitgelekte LinkedIn-database verschijnt online als download

Lees meer

IT-banen

Reacties (102)

Sorteer op:

Weergave: