Wachtwoorden miljoenen LinkedIn-gebruikers op straat - update
Op het internet zijn de wachtwoorden van miljoenen gebruikers van LinkedIn gepubliceerd. Op een Russische website zijn 6,5 miljoen wachtwoord-hashes verschenen. De sociale-netwerksite heeft de hack bevestigd en actie ondernomen.
LinkedIn heeft woensdagavond bevestigd dat de versleutelde wachtwoorden gekoppeld kunnen worden aan accounts van de site. Gebruikers van getroffen accounts kunnen niet meer met hun wachtwoord inloggen en ontvangen van LinkedIn instructies hoe ze hun wachtwoord kunnen resetten. Op de achtergrond heeft LinkedIn technische maatregelen genomen door de in de database opgeslagen versleutelde wachtwoorden alsnog te voorzien van een salt.
De sociale-netwerksite heeft hiertoe besloten nadat het eerder op de dag stelde dat het op de hoogte was gebracht van een bestand dat zou circuleren op het internet met daarin wachtwoorden. Het lijkt te gaan om een verouderde database met wachtwoorden. Een blik op het bestand wijst uit dat het gaat om circa 6,5 miljoen sha1-wachtwoord-hashes, zonder bijbehorende accountinformatie. Het is echter waarschijnlijk dat ze die wel bemachtigd hebben. De zakelijke sociale-netwerksite heeft in totaal 161 miljoen gebruikers.
Op Twitter melden verschillende LinkedIn-gebruikers, waaronder de directeur van beveiligingsbedrijf Fox-IT Ronald Prins, dat ze hun wachtwoord-hash kunnen terugvinden in de lijst met wachtwoorden. Dat betekent dat er geen salt is gebruikt: een waarde die aan een wachtwoord wordt toegevoegd om het minder gevoelig voor rainbow tables te maken.
Het lijkt er op dat de lijst werd uitgewisseld op een forum waar hulp aan andere gebruikers werd gevraagd om de wachtwoorden te ontcijferen. Bijna 300.000 wachtwoorden zouden al zijn gekraakt. Eerder op woensdag kwam LinkedIn in het nieuws omdat via de iOS-app gegevens uit de kalender onbeveiligd naar een LinkedIn-server zouden worden verzonden. LinkedIn zegt op Twitter de zaak te onderzoeken.
Update, 17:03: Het lijkt te gaan om een verouderde database met wachtwoorden. Deze informatie is in het artikel verwerkt.
Update 22:00 LinkedIn heeft de hack bevestigd. Het artikel is hier op aangepast.
Reacties (339)
Mijn eigen wachtwoord zat er niet tussen, dus het is duidelijk geen complete lijst. Uiteraard wel direct mijn wachtwoord gewijzigd.
-edit-
Mijn advies aan allen is dus: Verander je LinkedIn-wachtwoord ASAP!
-edit-
Mijn advies aan allen is dus: Verander je LinkedIn-wachtwoord ASAP!
[Reactie gewijzigd door TvdW op woensdag 6 juni 2012 14:37]
Dat had ik je ook wel kunnen vertellen..het is duidelijk geen complete lijst.
Wachtwoord lijst: Klikgaat het om 6,5 miljoen wachtwoorden die zijn geüpload,[..] De zakelijke sociale-netwerksite heeft in totaal 161 miljoen gebruikers.
De site wordt wel zwaar belast dus de kans dat je een database error krijgt is aanwezig.
Alternatieve locatie dankzij jw_moonshine : klik
[Reactie gewijzigd door kaluro2 op woensdag 6 juni 2012 15:04]
~4% kans dat je ertussen zit.
Ivm duplicates zou ik die kans eerder op 30% schatten...
Ik zou mijn wachtwoord daar juist NIET in zetten. Wie weet word er gewoon een rainbow table gegenereerd zo, met wachtwoorden.
Het werkt sneller om te bruteforcen.
Met een beetje geluk gebruikt linkedin een salt (en pepper) systeem en stelt het niet veel voor.
Met een beetje geluk gebruikt linkedin een salt (en pepper) systeem en stelt het niet veel voor.
Neen, LinkedIn gebruikte geen salt en ik vond de hash van mijn wachtwoord terug in de lijst. En dit is mogelijks slechts een deel van de lijst dus ookal komt jouw wachtwoord er niet in voor dan loop je risico.Met een beetje geluk gebruikt linkedin een salt (en pepper) systeem en stelt het niet veel voor.
Het is dus voor iedereen aangeraden je wachtwoord te veranderen naar iets tijdelijks, en eens men het lek gedicht heeft kan je een ander beter gekend wachtwoord gebruiken (maar niet je oude uiteraard)!
Is die site te vertrouwen? Als ze de password - hash combinatie opslaan en dan je hash terugvinden in de LinkedIn lijst dan kennen ze meteen je paswoord!
EDIT: .oisyn's site hieronder is veilig. De site hierboven niet want die submit de data naar een server (code gecontroleerd)!
EDIT: .oisyn's site hieronder is veilig. De site hierboven niet want die submit de data naar een server (code gecontroleerd)!
[Reactie gewijzigd door c0d1f1ed op woensdag 6 juni 2012 17:28]
dan moeten ze wel eerst je gebruikersnaam weten voor ze wat aan het wachtwoord hebben
@tommieonos: Iets zegt me dat de hackers echt niet alleen de tabel met wachtwoorden hebben binnen gehaald 
Lijkt me dat ze echt wel de gehele tabel inclusief username hebben. Echter hebben ze deze niet helemaal geüpload maar alleen de wachtwoorden.
Lijkt me dat ze echt wel de gehele tabel inclusief username hebben. Echter hebben ze deze niet helemaal geüpload maar alleen de wachtwoorden.
Ik zou deze manier gebruiken: https://lastpass.com/linkedin/
Only the hash of your password will be sent to LastPass.com's servers, not your actual password.
Bovendien raden ze aan eerst je wachtwoord(en) te wijzigen en dan pas (het oude) wachtwoord te testen.
Nou dan zit ik er wel precies tussen. Gvd. Maar kunnen ze er ook echt wat mee want ze weten toch geen gebruikersnaam? Hoezo verouderd??? Mensen hebben wachtwoorden toch niet voor maar 1 jaar ofzo?
[Reactie gewijzigd door JBee op woensdag 6 juni 2012 17:20]
Nee ze kunnen er niet zo heel snel wat mee. Het maakt het wel makkelijker voor de rainbowtables in het geval als je username ook een keer lekt + een soortgelijke wachtwoordhash.
Wat wel zo is en dat vergeten veel mensen: Je kan je wachtwoord dan wel veranderen maar als het 'lek' dan nog in LinkedIn zit dan kan er nog wel een keer een paswoord dump worden gemaakt waardoor je ALSNOG een wachtwoord op straat hebt liggen, in dit geval dan wel je nieuwe wachtwoord.
Wat wel zo is en dat vergeten veel mensen: Je kan je wachtwoord dan wel veranderen maar als het 'lek' dan nog in LinkedIn zit dan kan er nog wel een keer een paswoord dump worden gemaakt waardoor je ALSNOG een wachtwoord op straat hebt liggen, in dit geval dan wel je nieuwe wachtwoord.
Ja, maar als je nu zorgt dat dit wachtwoord uniek is voor LinkedIn, dan zit je in ieder geval een stuk beter erbij.
1 woord: duplicates...
Waarom kan dat niet gewoon in het nieuwsbericht gezet worden?
Waarschijnlijk omdat tweakers het risico niet wil lopen dat ze worden aangeklaagd door 6,5 miljoen mensen, of zelfs 1, wiens slechtgecodeerde wachtwoorden daar gedeeld worden.
volgens mij door het hier dan wel te laten staan zouden ze net zo "strafbaar"zijn of aan te klagen.
Nee hoor, dan ben jij strafbaar, niet tweakers (gelukkig).
Belachelijk dat hackers en tweakers wel kunnen checken of hun wachtwoord uitgelekt is en de "gewone" linkedin gebruiker niet... Zo'n lijst zou direct voor IEDEREEN publiek moeten worden in het geval deze uitlekt (wat je natuurlijk kosten wat het kost vermijd), niet alleen voor de mensen met skills die ff willen checken of hun ww niet uitgelekt is...
IMO is het zelfs ontzettend onbeschoft van linkedin om mij niet te vertellen dat mijn wachtwoord wel of niet uitgelekt is. Ik krijg wel een email als iemand mij een bericht stuurt of mij toevoegd als contact, maar niet als mijn wachtwoord (misschien) uitgelekt is?!
IMO is het zelfs ontzettend onbeschoft van linkedin om mij niet te vertellen dat mijn wachtwoord wel of niet uitgelekt is. Ik krijg wel een email als iemand mij een bericht stuurt of mij toevoegd als contact, maar niet als mijn wachtwoord (misschien) uitgelekt is?!
[Reactie gewijzigd door GeoBeo op woensdag 6 juni 2012 23:26]
SHA-1 hash van je ww genereren kan hier.
DISCLAIMER: De hash wordt middels javascript clientside gegenereerd. Ik geef de garantie dat niets naar de server wordt gestuurd, en dit is natuurlijk te controleren door de javascript sources van die pagina te bekijken.
.edit: Nu ook beschikbaar achter HTTPS zodat een man-in-the-middle niet stiekem de javascript kan aanpassen zodat hij de gegevens wél kan capturen
. Bovenstaande link aangepast.
DISCLAIMER: De hash wordt middels javascript clientside gegenereerd. Ik geef de garantie dat niets naar de server wordt gestuurd, en dit is natuurlijk te controleren door de javascript sources van die pagina te bekijken.
.edit: Nu ook beschikbaar achter HTTPS zodat een man-in-the-middle niet stiekem de javascript kan aanpassen zodat hij de gegevens wél kan capturen
. Bovenstaande link aangepast.[Reactie gewijzigd door .oisyn op woensdag 6 juni 2012 16:19]
Of je doet dat gewoon zo in de terminal: echo -n mypassword | openssl dgst -sha1
Als je er dan ook nog even een spatie voor zet staat je wachtwoord ook niet in je history. (iig bij zsh en bash)
Dus voor de duidelijkheid, voor iedereen met OS X/linux:
Het commando is het volgende, zonder haakjes natuurlijk en MET de spatie ervoor:
" grep `echo -n eaglelinkedin | shasum | cut -c6-40` combo_not.txt"
Om te testen of het werkt hier een aantal wachtwoorden die erin staan:
- eaglelinkedin
- nathanlinkedin
- secret
- qwerty
- mohammed
- 123456
- 1234567
- 12345678
- 123456789
- password
- passwordpassword
- linkedin
- president
- barackobama
- obama1
- groningen
- counterstrike
- fcgroningen
- obama2012
- obama2011
- obama2008
- noordholland
-drenthe
De reden dat jouw wachtwoord er niet tussen staat is dat hij waarschijnlijk al gekraakt is. De wachtwoorden waarbij de eerste paar letters van de hash vervangen zijn met een 0 dienen waarschijnlijk als markering dat ze gekraakt zijn.
Het commando hierboven haalt de eerste paar karakters van de hash weg en vergelijkt ze met de tekst.
Ook lijkt het dat er geen wachtwoorden toegelaten zijn op linkedin tussen 1 en 5 karakters
Het commando is het volgende, zonder haakjes natuurlijk en MET de spatie ervoor:
" grep `echo -n eaglelinkedin | shasum | cut -c6-40` combo_not.txt"
Om te testen of het werkt hier een aantal wachtwoorden die erin staan:
- eaglelinkedin
- nathanlinkedin
- secret
- qwerty
- mohammed
- 123456
- 1234567
- 12345678
- 123456789
- password
- passwordpassword
- president
- barackobama
- obama1
- groningen
- counterstrike
- fcgroningen
- obama2012
- obama2011
- obama2008
- noordholland
-drenthe
De reden dat jouw wachtwoord er niet tussen staat is dat hij waarschijnlijk al gekraakt is. De wachtwoorden waarbij de eerste paar letters van de hash vervangen zijn met een 0 dienen waarschijnlijk als markering dat ze gekraakt zijn.
Het commando hierboven haalt de eerste paar karakters van de hash weg en vergelijkt ze met de tekst.
Ook lijkt het dat er geen wachtwoorden toegelaten zijn op linkedin tussen 1 en 5 karakters
[Reactie gewijzigd door shadylog op woensdag 6 juni 2012 20:36]
De "Alternatieve locatie dankzij jw_moonshine" link levert een corrupt zip archive op.
Bij mij werkt die gewoon, ik kwam mijn sha1 niet tegen in de file, maar als ik zocht in google naar de hash kwam ik 1 site tegen waar hij in de database zat (http://xdecrypt.com/) dus toch maar gelijk m'n wachtwoord gewijzigd
edit: grappig dat ik offtopic wordt gemod en reacties op mij on topic
..
edit: grappig dat ik offtopic wordt gemod en reacties op mij on topic
..[Reactie gewijzigd door fommes op woensdag 6 juni 2012 22:19]
Handig ook die site, want rechts bovenin worden de laatst uitgevoerde queries getoond
Vreemd, mijn linkedin paswoord is daar ook terug te vinden terwijl het niet echt alledaags is.
Mijn paswoord staat ook in de combo_not.txt lijst :-/
Gelukkig is het een lang paswoord. Alhoewel dat met een simpel hash algoritme als SHA1 en stevige GPU's maar weinig helpt.
Volgens deze link kan je met een ATI Radeon HD6990 2656M SHA1 hashes per seconde proberen. Voor een paswoord met 7 alphanumerische tekens (a-Z0-9) is je paswoord binnen de 22 minuten gekraakt!
Ik ben benieuwd of deze high profile breach tot gevolg zal hebben dat two-factor (of one time passwords) in populariteit zullen stijgen. Ik zelf overweeg nu sterk om 1Password of dergelijke te gebruiken.
Gelukkig is het een lang paswoord. Alhoewel dat met een simpel hash algoritme als SHA1 en stevige GPU's maar weinig helpt.
Volgens deze link kan je met een ATI Radeon HD6990 2656M SHA1 hashes per seconde proberen. Voor een paswoord met 7 alphanumerische tekens (a-Z0-9) is je paswoord binnen de 22 minuten gekraakt!
Ik ben benieuwd of deze high profile breach tot gevolg zal hebben dat two-factor (of one time passwords) in populariteit zullen stijgen. Ik zelf overweeg nu sterk om 1Password of dergelijke te gebruiken.
Ik zou toch niet te vaak mijn passwoorden of zelfs gehashte passwoorden zomaar links en rechts gaan ingeven in allerhande malafiede websites als ik van jullie was.
Om te beginnen graaien deze personen naar hashes of gehackte databases om naderhand de hashes te gaan decrypten.
De kans is groot dat ze beschikken over farms om gelijk grote aantallen hashes te gaan decrypten in een keer.
Het zou me verder ook niet verbazen dat ze jouw opgegeven hashes niet bijhielden om naderhand te gaan decrypten.
Ik hoop dat jullie als tweaker over genoeg gezond verstand beschikken om te begrijpen waarom dat niet zo een goed idee is?
Om te beginnen graaien deze personen naar hashes of gehackte databases om naderhand de hashes te gaan decrypten.
De kans is groot dat ze beschikken over farms om gelijk grote aantallen hashes te gaan decrypten in een keer.
Het zou me verder ook niet verbazen dat ze jouw opgegeven hashes niet bijhielden om naderhand te gaan decrypten.
Ik hoop dat jullie als tweaker over genoeg gezond verstand beschikken om te begrijpen waarom dat niet zo een goed idee is?
ik heb hem ook nergens op die site ingegeven alleen heb ik mijn hash in google gepaste en toen kwam deze site naar boven met mijn wachtwoord ernaast (wat overigens ook niemand anders als wachtwoord zal hebben)
Ik begrijp dat het niet verstandig is om daar mijn hashes in te gaan vullen
Ik begrijp dat het niet verstandig is om daar mijn hashes in te gaan vullen
schoon beveiliging heeft dat forum.
Bij een bezoek aan die link krijg ik volgende foutmelding:
Bij een bezoek aan die link krijg ik volgende foutmelding:
zouden ze sql-injection-proof zijn? anders staat ook hun data binnenkort op het net.phpBB : Critical Error
Error creating new session
DEBUG MODE
SQL Error : 145 Table './insiocom_form/phpbb_sessions' is marked as crashed and should be repaired
INSERT INTO phpbb_sessions (session_id, session_user_id, session_start, session_time, session_ip, session_page, session_logged_in, session_admin) VALUES ('e18b0834e3289da7c52cd098d477b410', -1, 1339008293, 1339008293, '5ec6a50b', 22, 0, 0)
Line : 207
File : sessions.php
[Reactie gewijzigd door soulrider op woensdag 6 juni 2012 17:49]
typisch gevalletje corrupte sessions tabel van phpbb
Maar on topic:
Er schandalig dat bij zo'n zakelijke speler, die bovendien vrij agressief geld vraagt/pro accounts wil aansmeren, dit soort belangrijke gegevens naar buiten komen
Maar on topic:
Er schandalig dat bij zo'n zakelijke speler, die bovendien vrij agressief geld vraagt/pro accounts wil aansmeren, dit soort belangrijke gegevens naar buiten komen
Als je goed gelezen zou hebben zou je gezien hebben 6,5 miljoen, van de totale 161 miljoen gebruikers dus is de kans groot zat dat je wachtwoord er niet bij zit...
Best een kwalijke zaak dit, gezien LinkedIn een zakelijke social media program is...
Dat is dan best wel een logische hack prio.
Best een kwalijke zaak dit, gezien LinkedIn een zakelijke social media program is...
Dat is dan best wel een logische hack prio.
Een kans van 1 op 24 is niet groot? Vind ik wel, zeker in het geval van een hack.
Voor de Linux loekies, BSD nerds en de Apple fans
Download zipje met passwords
unzippen... en dan:
cat combo_not.txt | grep -i `echo "MIJNPASSWORD" | sha1sum`
cat Downloads/combo_not.txt | grep -i `echo -n "Andres#1" | sha1sum`
Download zipje met passwords
unzippen... en dan:
cat combo_not.txt | grep -i `echo "MIJNPASSWORD" | sha1sum`
cat Downloads/combo_not.txt | grep -i `echo -n "Andres#1" | sha1sum`
[Reactie gewijzigd door DeuTeRiuM op woensdag 6 juni 2012 15:20]
Dat gaat nie nie werken nie, sha1sum geeft nog een spatie en een "-" aan het einde van de hash. Wel werkt:
echo -n "MY_PASSWORD" | sha1sum | sed 's/[^a-z0-9]//g' | grep `cat /dev/stdin` combo_not.txt
echo -n "MY_PASSWORD" | sha1sum | sed 's/[^a-z0-9]//g' | grep `cat /dev/stdin` combo_not.txt
[Reactie gewijzigd door bert_m op woensdag 6 juni 2012 15:33]
Genereren kan ook zo: echo -n mypassword | openssl dgst -sha1
Werkt prima anders! Andres#1 is het eerste wachtwoord in het bestandje. Vindt-ie gewoon.
Oops, zet DeuTeRiuM nou zijn eigen wachtwoord in de reactie hierboven?
nee, natuurlijk niet
waarom zou je password dan veranderen? wat moeten mensen dan met je linked account. ik kan me bij credit cards nog wel voorstellen maar linkedin of een vage forum account?
Linkedin gebruik je vaak professioneel dus vooral imago schade voor jezelf en je huidige/toekomstige werkgever. Stel iemand voegt het bezoeken van homobars toe aan je hobby's.....
Als dat imagoschade geeft weet ik niet of ik bij zo'n bedrijf zou willen werken...
nee precies, dan hoeft zo'n bedrijf voor mij ook niet meer.
In Nederland valt dat nog wel mee, maar in de meeste staten van de VS kom je daarmee niet meer aan de bak.
En er zijn natuurlijk ook andere dingen die men kan toevoegen om je imago te schaden...
En er zijn natuurlijk ook andere dingen die men kan toevoegen om je imago te schaden...
Wat heeft dat met je werkgever te maken? Je mag in je vrije tijd toch doen wat je wil volgens mij. Ik vond carnaval bij de Gaykrant wel grappig. Vooroordelen heb je.
Omdat er veel mensen wel actief gebruik maken van LinkedIn, voor zakelijke doeleinden. Ook zijn betalingen gekoppeld aan LinkedIn, bijvoorbeeld om advertenties/vacatures te kunnen plaatsen
ook leuk voor mensen die hetzelfde wachtwoord op meerdere sites gebruiken.
Je moet vooral denken aan de mensen die (praktisch) overal dezelfde wachtwoorden gebruiken, dat zijn er echt meer dan je denkt...
Ik heb een aantal verschillende wachtwoorden voor verschillende zaken, om de belangrijke zaken gescheiden te houden van onbelangrijkere zaken zoals Linkedin.
Ik heb een aantal verschillende wachtwoorden voor verschillende zaken, om de belangrijke zaken gescheiden te houden van onbelangrijkere zaken zoals Linkedin.
Wat jij als onbelangrijk ziet kan voor een hacker wel een schat van informatie opleveren om jou te schaden, af te persen, te bedreigen, identiteit te stelen, etc. Het risico is klein, maar niet onbestaande. Better safe than sorry.
Dat gezegd zijnde gebruik ikzelf ook maar een beperkt aantal wachtwoorden. Veel te lastig om voor elk doeleind een andere te hebben zonder het ergens op te schrijven (wat nog veel gevaarlijker is).
Wat mij vooral stoort is diensten die beperkingen opleggen aan wachtwoorden, zoals niet meer dan 8 karakters en/of geen speciale tekens. Dat dwingt om onveiliger wachtwoorden te gebruiken waar je een veiliger wil, en om varianten te maken waar je geen nieuw nodig acht...
Dat gezegd zijnde gebruik ikzelf ook maar een beperkt aantal wachtwoorden. Veel te lastig om voor elk doeleind een andere te hebben zonder het ergens op te schrijven (wat nog veel gevaarlijker is).
Wat mij vooral stoort is diensten die beperkingen opleggen aan wachtwoorden, zoals niet meer dan 8 karakters en/of geen speciale tekens. Dat dwingt om onveiliger wachtwoorden te gebruiken waar je een veiliger wil, en om varianten te maken waar je geen nieuw nodig acht...
Ja let ook even op dat het emailadres dat bij je LinkedIn account hoort. Dat je daar bv ook niet hetzelfde wachtwoord voor gebruikt. En als ze ook de account namen hebben (je echte naam) Dat ze met dat wachtwoord dus ook niet in andere accounts met je echte naam (facebook, google) kunnen komen. Want het is makkelijk genoeg om je ff te googlen en bij accounts met die naam je wachtwoord ff te proberen.
Juist niet aanpassen lijkt mij. Linkedin heeft het probleem nog niet gevonden dus wie weet word je nieuwe password er straks juist uitgehaald. Ik zou wachten tot Linkedin het probleem heeft opgelost en dan pas mijn wachtwoord aanpassen
"Our team is currently looking into reports of stolen passwords. Stay tuned for more."
"Our team is currently looking into reports of stolen passwords. Stay tuned for more."
Heb ook maar gelijk mijn wachtwoord gewijzigd, better safe than sorry.
Wachtwoord wijzigen heeft geen zin.
Op dit moment heeft linkedin het probleem nog niet gefikst.
Op dit moment heeft linkedin het probleem nog niet gefikst.
Ik heb een heel lelijk vermoeden. Stel ik wil LinkedIn beschadigen en er geld aan verdienen. Ik zou het volgende kunnen doen:
- Genereer een lijst van 6,5 miljoen wachtwoorden of oogst ze op een andere plek
- Koop put-opties LinkedIn
- Verspreid je bestand en het gerucht
- De kans dat bij een lijst van 6,5 miljoen wachtwoorden er hits zijn in een groep van 161 mijoen mensen is heel groot. Je kan er ook op vertrouwen dat daar mensen bij zijn die dat zelf melden via twitter of andere social media. Zo wordt het gerucht gevalideerd.
- Wacht tot de koers daalt en verkoop je put-opties: kassa!
Als je in de terugvertaalde lijst kijkt zie je stukjes die sterk op een via dictionary genereerde lijst lijken, bijvoorbeeld:
Merk op dat de gepubliceerde data alleen wachtwoorden bevat en dat het idee dat ook user names buitgemaakt zijn niet bewezen is. De truuk die ik beschrijf is te doen met alleen wachtwoorden, maar niet met paren user name-password, want dan is de kans dat je toevallig een hit scoort bij een LinkedIn-klant vele malen kleiner.
- Genereer een lijst van 6,5 miljoen wachtwoorden of oogst ze op een andere plek
- Koop put-opties LinkedIn
- Verspreid je bestand en het gerucht
- De kans dat bij een lijst van 6,5 miljoen wachtwoorden er hits zijn in een groep van 161 mijoen mensen is heel groot. Je kan er ook op vertrouwen dat daar mensen bij zijn die dat zelf melden via twitter of andere social media. Zo wordt het gerucht gevalideerd.
- Wacht tot de koers daalt en verkoop je put-opties: kassa!
Als je in de terugvertaalde lijst kijkt zie je stukjes die sterk op een via dictionary genereerde lijst lijken, bijvoorbeeld:
En het eind van de vertaalde lijst lijkt dan weer op een lijst uit een brute force attack:8c1afb4faaa97d7ab9b9b949e669c5b3c5ce2b32:tiffy1bear
43e61439db599c30ef989e9c3516f789c5ec1003:alessibear
16f057c047e80bb088911c85fede68afc62de7b6:chaskebear
2a23339cef332a4ce8d0874b35754d89ce2b980f:getyoubitch1
055b9be5c07d0991621b72dc3534884cde5e9954:fieldybear
f6ddfe8d65bb90a1284efb0a8ec686c9e6a9a8a7:sunbedstudio
6b45f432bea590bb4ca9a208f00086b6ebea14ac:sushi8bear
ce9cad75bf1b0356f46b08f856958812ec6adbd1:panda8bear
6bc8279ba3e367208bcc3e1ba9ec97c0efea9660:keirrabear
Nu komt de groepering van die gelijksoortige wachtwoorden natuurlijk omdat het terugvertalen van de hashes via die methode is gedaan. In het originele bestand komen niet dezelfde groepjes voor (dat zou pas echt HEEL verdacht zijn). Maar het maken van zo'n lijst en het genereren van SHA1 hashes kost veel minder CPU dan het ontsleutelen, en zou echt goed te doen zijn - vast veel gemakkelijker dan echt inbreken.dd261f7e1d407f84bb8c5498d58eaea544e38171:lpzgsy99
a9057203f913179f98a56562ac868ee47d3b2d1f:Epzklm99
9bfb4882a9099a062c61bd0c1b3797becb5c85ea:xqzzme89
2670702a5364579f50f72624bf6c787daa275872:pqzmjf99
dc5575e28c1fed0bf1475473bdad4735b176e720:orzaiz99
1e55b7c624d5357bb26bb6ec20a0ce7dfcaacdf9:ztzuhf99
4a80f71f82a7b1ceddbfb45614010a2175ad8b54:yuzpot89
98a16c42bdb8452002ce539e0482343c61805716:tvzypc89
d06bb59540e006cd1539b23662908a2cb04e4436:swzlaw99
6af469c4817ce60be55f47e5c78d3cd504be7990:fyzfak89
c9fe5800bc73eeb6134ba8d039e7291440c05aa3:zxzxlp99
377c4fcc9201ed3ac5684a9a6a75210905016779:izzemm89
9134e76acd9104ca393b6c22e789d71b348f7e7d:uzzury19
Merk op dat de gepubliceerde data alleen wachtwoorden bevat en dat het idee dat ook user names buitgemaakt zijn niet bewezen is. De truuk die ik beschrijf is te doen met alleen wachtwoorden, maar niet met paren user name-password, want dan is de kans dat je toevallig een hit scoort bij een LinkedIn-klant vele malen kleiner.
[Reactie gewijzigd door berend_engelbrecht op woensdag 6 juni 2012 18:32]
Alleen dan is het de vraag WIE wil linkedin "beschadigen"?
De hacker? (op het forum meld hij niks over linkedin) of het Noorse DagensIT?
Verder een interessante theorie inderdaad!
edit: met de koers lijkt het vooralsnog mee te vallen.
De hacker? (op het forum meld hij niks over linkedin) of het Noorse DagensIT?
Verder een interessante theorie inderdaad!
edit: met de koers lijkt het vooralsnog mee te vallen.
[Reactie gewijzigd door Mattie112 op woensdag 6 juni 2012 19:58]
De persoon die het gerucht verspreid heeft (Per Thorsheim, "password expert en consultant" in Evry, of diegene waar hij het weer vandaan heeft). Als ik de bron was zou ik zorgen dat ik niet rechtstreeks in de media kom. Als mijn theorie (meer een hypothese, ik heb geen enkel bewijs) juist is zou de bron gepakt kunnen worden voor beursfraude.Alleen dan is het de vraag WIE wil linkedin "beschadigen"?
Dus:
- Verspreid het gerucht via iemand die iemand kent die een journalist/beveiligingsexpert kent.
Dit soort vage contacten kan je bijvoorbeeld heel gemakkelijk leggen via LinkedIn
- Verspreid de data via een geheel andere route. Word lid van een Oost-Europees forum (de echte crackers zitten in voormailge sovjet-landen, right? ) en stuur een PM naar iemand die al wat langer lid is met een spannend verhaal over je data. 6,5 miljoen passwords lijken me sowieso een vette worst voor zo iemand, ongeacht de bron.
Iemand met connecties in Noorwegen en Rusland zou je bijvoorbeeld in Finland kunnen zoeken (ik noem maar een dwarsstraat, in het Internettijdperk zijn dit soort dingen niet meer echt plaatsgebonden).
[Reactie gewijzigd door berend_engelbrecht op woensdag 6 juni 2012 20:21]
Heel sterk verhaal!
goed opgemerkt
Als linkedin echter salt zou gebruiken konden ze het meteen ontkennen dus ook als dit niet waar is zou het kwalijk zijn dat linkedin geen salt gebruikt. dat leert !@$##~!#%$# ieder beginnende developer toch.
Als linkedin echter salt zou gebruiken konden ze het meteen ontkennen dus ook als dit niet waar is zou het kwalijk zijn dat linkedin geen salt gebruikt. dat leert !@$##~!#%$# ieder beginnende developer toch.
Interessante theorie. Niet op de minste plaats omdat een soortgelijke truc al is uitgehaald met de "gelekte" KPN mail wachtwoorden, die uiteindelijk afkomstig bleken te zijn uit een (gefilterde) lijst wachtwoorden van een eerdere hack van babydump.nl.
Aan de andere kant, het feit dat bijvoorbeeld @cryptoron (werkzaam bij Fox-IT) bevestigt dat zijn wachtwoord ook in de lijst voorkomt maakt het voor mij iets minder aannemelijk dat het een random lijst aan wachtwoorden is. Waarbij ik natuurlijk wel de aanname (dodelijk!) maak dat hij een sterk wachtwoord heeft gebruikt, én dat dit niet ook al bij een eerdere hack is buitgemaakt, waarbij dit bijvoorbeeld onversleuteld is opgeslagen.
Desalniettemin, het is inderdaad een effectieve methode om een bedrijf eenvoudig in een kwaad daglicht te zetten. Het is kinderspel om uit alle gelekte databases die er rondzwerven een mooie mashup te maken waarvan je er ook nog eens van uit kan gaan dat 90% van de wachtwoorden nog door iemand in gebruik zullen zijn. Interesting
Aan de andere kant, het feit dat bijvoorbeeld @cryptoron (werkzaam bij Fox-IT) bevestigt dat zijn wachtwoord ook in de lijst voorkomt maakt het voor mij iets minder aannemelijk dat het een random lijst aan wachtwoorden is. Waarbij ik natuurlijk wel de aanname (dodelijk!) maak dat hij een sterk wachtwoord heeft gebruikt, én dat dit niet ook al bij een eerdere hack is buitgemaakt, waarbij dit bijvoorbeeld onversleuteld is opgeslagen.
Desalniettemin, het is inderdaad een effectieve methode om een bedrijf eenvoudig in een kwaad daglicht te zetten. Het is kinderspel om uit alle gelekte databases die er rondzwerven een mooie mashup te maken waarvan je er ook nog eens van uit kan gaan dat 90% van de wachtwoorden nog door iemand in gebruik zullen zijn. Interesting
Dat is het blijkbaar niet:
http://blog.linkedin.com/...er-passwords-compromised/
http://blog.linkedin.com/...er-passwords-compromised/
Ondanks dat dit verhaal redelijk plausibel zou kunnen zijn kan ik redelijk garanderen dat dit in dit geval, ondanks de missende gebruikersnamen, deze sha1 hashes authentiek zijn.
Ik pas bijvoorbeeld mij wachtwoorden per site aan. De precieze details ga ik natuurlijk niet vermelden maar als voorbeeld:
Het 1e, 2e en 4e karakter van het url (ja, zonder de www)+een password dat bestaat uit 12 willekeurig gegenereerde karakters.
In werkelijkheid nog iets complexer, maar het idee lijkt me duidelijk, ik heb een uniek wachtwoord in deze. In sha1 zou dit telkens een volledig andere hash opleveren. Echter, vind ik mijn sha1 hash ook terug in de grote lijst (niet in de gekraakte lijst).
Ik denk dat je het verhaal verkeerd om bekijkt, het gedeelte gekraakte passwords is het "makkelijke" gedeelte en daardoor vermoed je dat de rest van de hashes ook op zo'n manier is gegenereerd. Natuurlijk zijn er al dictionary attacks en rainbow tables beschikbaar, die pakken inderdaad de simpele en korte wachtwoorden er zo uit. Dat wil echter niet zeggen dat alle wachtwoorden simpel of kort zijn.
Ik pas bijvoorbeeld mij wachtwoorden per site aan. De precieze details ga ik natuurlijk niet vermelden maar als voorbeeld:
Het 1e, 2e en 4e karakter van het url (ja, zonder de www)+een password dat bestaat uit 12 willekeurig gegenereerde karakters.
In werkelijkheid nog iets complexer, maar het idee lijkt me duidelijk, ik heb een uniek wachtwoord in deze. In sha1 zou dit telkens een volledig andere hash opleveren. Echter, vind ik mijn sha1 hash ook terug in de grote lijst (niet in de gekraakte lijst).
Ik denk dat je het verhaal verkeerd om bekijkt, het gedeelte gekraakte passwords is het "makkelijke" gedeelte en daardoor vermoed je dat de rest van de hashes ook op zo'n manier is gegenereerd. Natuurlijk zijn er al dictionary attacks en rainbow tables beschikbaar, die pakken inderdaad de simpele en korte wachtwoorden er zo uit. Dat wil echter niet zeggen dat alle wachtwoorden simpel of kort zijn.
Je hebt natuurlijk gelijk en het was ook maar een vermoeden: zoiets zou kunnen gebeuren (en is kortgeleden gebeurd met KPN). Ik had geen bewijs en het blijkt nu ook niet waar te zijn. Ik wilde er alleen op wijzen dat je met de dingen die vanmiddag bekend waren ook een hele andere kant op kon.
Overigens zou ik als ik die hacker was nog steeds put-opties linkedin gekocht hebben en de hack bekend maken vlak voor de datum dat ik ze kan verzilveren.
Overigens zou ik als ik die hacker was nog steeds put-opties linkedin gekocht hebben en de hack bekend maken vlak voor de datum dat ik ze kan verzilveren.
Haal je die info nou uit de hacked+decrypted password-lijst? Die zal er inderdaad brute-forced uitzien... omdat dat precies de manier is waarop ze die lijst gemaakt hebben! Ze hebben de decrypted passwords niet, dus hebben ze een brute-force-methode over de lijst met miljoenen sha1-hashes gehaald, en die heeft een aantal (dus niet allemaal) wachtwoorden kunnen achterhalen. Dus ja, die ge-de-hashede lijst ziet er bruteforced uit omdat dat nou juist het stukje van de wachtwoorden is die makkelijk ge-bruteforced kon worden.
[Reactie gewijzigd door Sprite_tm op donderdag 7 juni 2012 00:15]
Hoe controleer ik of mijn wachtwoord ertussen staat?
Download het gelekte bestand (interwebs:)) en genereer van je eigen wachtwoord een SHA-1. Vervolgens copy je die SHA-1 waarde en ga je zoeken of er een SHA-1 waarde in het bestandje voorkomt dat gelijk is aan je gegenereerde SHA-1 waarde. Succes.
Algemeen:
Tip1: Wijzig je wachtwoord.
Tip2: Gebruik een random wachtwoord. De vulnerability is nog steeds niet opgelost. Tot die tijd kan je wachtwoord opnieuw uitlekken, gebruik daarom een random wachtwoord wat je nergens anders voor gebruikt!
@ D-rez.
Even kort uitgelegd. Bij linkedin zijn wachtwoorden gelekt. Deze wachtwoorden zijn nu te vinden op het internet in een .txt bestand van 110mb. In dit .txt bestand staan geen gewone wachtwoorden zoals "123456", maar SHA-1 hashes van de wachtwoorden. Een SHA-1 hash is een "unieke" cryptografische waarde die aan een wachtwoord te koppelen is. Binnenkort staan alle wachtwoorden in normale tekst op het internet, maar daarvoor moeten eerst alle SHA-1 hashes uncrypt worden, dat kost veel rekenkracht. Daarom is de snelste manier om te kijken of je wachtwoord ook gelekt is door een SHA-1 hash te generen van je wachtwoord (google sha-1 generator oid) en kopier die waarde. Vervolgens kan je in het .txt file waar inmiddels genoeg linkjes over zijn te vinden controleren of jouw wachtwoord daar ook in staat. De SHA-1 hash van "1234 ziet er dus zo uit "7110eda4d09e062aa5e4a390b0a572ac0d2c0220".
Ik hoop het zo iets duidelijker te hebben gemaakt
Algemeen:
Tip1: Wijzig je wachtwoord.
Tip2: Gebruik een random wachtwoord. De vulnerability is nog steeds niet opgelost. Tot die tijd kan je wachtwoord opnieuw uitlekken, gebruik daarom een random wachtwoord wat je nergens anders voor gebruikt!
@ D-rez.
Even kort uitgelegd. Bij linkedin zijn wachtwoorden gelekt. Deze wachtwoorden zijn nu te vinden op het internet in een .txt bestand van 110mb. In dit .txt bestand staan geen gewone wachtwoorden zoals "123456", maar SHA-1 hashes van de wachtwoorden. Een SHA-1 hash is een "unieke" cryptografische waarde die aan een wachtwoord te koppelen is. Binnenkort staan alle wachtwoorden in normale tekst op het internet, maar daarvoor moeten eerst alle SHA-1 hashes uncrypt worden, dat kost veel rekenkracht. Daarom is de snelste manier om te kijken of je wachtwoord ook gelekt is door een SHA-1 hash te generen van je wachtwoord (google sha-1 generator oid) en kopier die waarde. Vervolgens kan je in het .txt file waar inmiddels genoeg linkjes over zijn te vinden controleren of jouw wachtwoord daar ook in staat. De SHA-1 hash van "1234 ziet er dus zo uit "7110eda4d09e062aa5e4a390b0a572ac0d2c0220".
Ik hoop het zo iets duidelijker te hebben gemaakt
[Reactie gewijzigd door ibidriv3r op woensdag 6 juni 2012 17:46]
en in leken taal?
Ik zal m'n PW wel gewoon veranderen
Ik zal m'n PW wel gewoon veranderen
Kijk effe hier: http://msandbu.wordpress.com/2012/06/06/linkedin-hacked/
Daar staat voor leken een goede manier om te zien of je wachtwoord hash gelekt is.
Dat van mij stond ertussen (is inmiddels gewijzigd).
En uiteraard - als iemand de hashes heeft, dan is het meer dan aannemelijk dat deze persoon ook de bijbehorende user IDs heeft!
Daar staat voor leken een goede manier om te zien of je wachtwoord hash gelekt is.
Dat van mij stond ertussen (is inmiddels gewijzigd).
En uiteraard - als iemand de hashes heeft, dan is het meer dan aannemelijk dat deze persoon ook de bijbehorende user IDs heeft!
Ook die van mij stond erbij. Het lijkt er dus op dat meer Nederlandse accounts achterhaald zijn.
Bedankt voor de link! Gelukkig staat mijn wachtwoord er niet bij.
Het gaat hier waarschijnlijk om oude wachtwoord hashes:
Het gaat hier waarschijnlijk om oude wachtwoord hashes:
Update 1: Might be that the dump contains old passwords, btw, my old password was recovered from the leaked #Linkedin hash list. This means it's at least 7-8 months old ... http://mobile.twitter.com...status/210345654004887553
En hier een lijst die ik op het forum vond met hashes en (decrypted?) passwords:
hierstondeenlink
edit:
hier een kopietje van de pagina van het forum
hierstondeenlink
edit2:
originele link naar het bestand met de decrypte passwords (voor als mn server gaat roken
)
http://www.mediafire.com/?bq8bd5iojp50zci
edit3:
mn server gaat nu wel een beetje lopen roken Ik ga mijn kopie zo verwijderen de mediafire link zou wel nog moeten werken, dat is een link naar het originele bestand.
hierstondeenlink
edit:
hier een kopietje van de pagina van het forum
hierstondeenlink
edit2:
originele link naar het bestand met de decrypte passwords (voor als mn server gaat roken
)http://www.mediafire.com/?bq8bd5iojp50zci
edit3:
mn server gaat nu wel een beetje lopen roken
Ik ga mijn kopie zo verwijderen de mediafire link zou wel nog moeten werken, dat is een link naar het originele bestand.[Reactie gewijzigd door Mattie112 op woensdag 6 juni 2012 16:27]
Achter de dubbele punt zijn inderdaad de decrypted passwords. Heb er een aantal tenminste getest, en deze kloppen.
Bovenste regel als voorbeeld:
echo -n "Andres#1" | sha1sum
ab0621c7c55b0b8be4129655e90a8204ca1063d0 -
Ze komen ook voor in het bestand combo_not.txt waar dit artikel over gaat.
grep 'ab0621c7c55b0b8be4129655e90a8204ca1063d0' combo_not.txt
ab0621c7c55b0b8be4129655e90a8204ca1063d0
Bovenste regel als voorbeeld:
echo -n "Andres#1" | sha1sum
ab0621c7c55b0b8be4129655e90a8204ca1063d0 -
Ze komen ook voor in het bestand combo_not.txt waar dit artikel over gaat.
grep 'ab0621c7c55b0b8be4129655e90a8204ca1063d0' combo_not.txt
ab0621c7c55b0b8be4129655e90a8204ca1063d0
Op mijn 2e link zie je een kopietje van de forum pagina, in 1 van die posts wordt verwezen naar die decrypted file dus het lijkt idd (een deel van) die wachtwoorden te zijn.
Mattie, dank voor je link,
Kan het kloppen dat ik op een grand-total van ongeveer 163.268 wachtwoorden uitkom?
Is die lijst misschien niet compleet of zijn hier alle duplicates al uitgehaald?
thanx voor je reactie
Kan het kloppen dat ik op een grand-total van ongeveer 163.268 wachtwoorden uitkom?
Is die lijst misschien niet compleet of zijn hier alle duplicates al uitgehaald?
thanx voor je reactie
Dat is een lijst die op het forum stond.
Er zijn 2 lijsten:
#1 6,5 mil HASHED passwords
#2 160k hashed + decrypted passwords
Dus idd de 2e lijst is niet "compleet".
(verder heb ik er ook niks mee te maken hoor, vond die link op het forum!)
Er zijn 2 lijsten:
#1 6,5 mil HASHED passwords
#2 160k hashed + decrypted passwords
Dus idd de 2e lijst is niet "compleet".
(verder heb ik er ook niks mee te maken hoor
, vond die link op het forum!)Ha, dank voor je reactie, ik snap het
Dan ga ik eens even kijken of ik in de lijst met 6,5 sta, hoop het niet... (ik ben die ene domme lul die hetzelfde wachtwoord gebruikt voor alles (behalve creditcard dan )
Dan ga ik eens even kijken of ik in de lijst met 6,5 sta, hoop het niet... (ik ben die ene domme lul die hetzelfde wachtwoord gebruikt voor alles (behalve creditcard dan )
ik vind mediafire en dat soort sites niet zo fijn daarom een torrent/magnet link
edit ubb code coor url bakt er niets van:
magnet:?xt=urn:btih:E2CAE354D0BC6A79FFB2BD94B7B0F77AE855462B&dn=combo_not.zip&tr=udp%3a//tracker.openbittorrent.com%3a80/announce
edit ubb code coor url bakt er niets van:
magnet:?xt=urn:btih:E2CAE354D0BC6A79FFB2BD94B7B0F77AE855462B&dn=combo_not.zip&tr=udp%3a//tracker.openbittorrent.com%3a80/announce
Voor de mensen die online hash generators niet vertrouwen, met Python kan je eenvoudig een SHA-1 hash genereren:
import hashlib
m = hashlib.sha1()
m.update("password")
m.hexdigest()
import hashlib
m = hashlib.sha1()
m.update("password")
m.hexdigest()
en als je dan toch python hebt, zit je waarschijnlijk al op de commandline van een Linux bak, en kun je net zo goed dit doen:Voor de mensen die online hash generators niet vertrouwen, met Python kan je eenvoudig een SHA-1 hash genereren:
echo '<password>' | openssl sha1
echo -n, anders hasht ie de newline mee. Overigens staat ie vervolgens dan ook meteen in je command line history.
Beter is gewoon openssl sha1 uit te voeren, vervolgens je wachtwoord te typen gevolgd door 2x CTRL-D (en geen enter), en na de hash gekopieerd te hebben de het terminalvenster te sluiten.
Beter is gewoon openssl sha1 uit te voeren, vervolgens je wachtwoord te typen gevolgd door 2x CTRL-D (en geen enter), en na de hash gekopieerd te hebben de het terminalvenster te sluiten.
[Reactie gewijzigd door Grauw op woensdag 6 juni 2012 17:25]
daar heb je encrypted homedirs voor, en bovendien is er ook nog zoiets als history -cOverigens staat ie vervolgens dan ook meteen in je command line history.
Maar ik heb 'm even in een shellscript gegoten, dan heb je sowieso geen history.
da's een goeie, daar was ik bijna mooi ingetuind. thxecho -n, anders hasht ie de newline mee.
[Reactie gewijzigd door arjankoole op woensdag 6 juni 2012 23:00]
> Overigens staat ie vervolgens dan ook meteen in je command line history.
Of gewoon een spatie voor je commando zetten...
Of gewoon een spatie voor je commando zetten...
om de een of andere reden krijg ik verschillende resultaten tussen Python en een Online SHA-1 hash converter...
Edit: iets beter nadenken doet wonderen. Na 'm.update' moet je uiteraard eerst 'm =' opnieuw uitvoeren.
Werkt ook perfect via IDLE in Windows.
Edit: iets beter nadenken doet wonderen. Na 'm.update' moet je uiteraard eerst 'm =' opnieuw uitvoeren.
Werkt ook perfect via IDLE in Windows.
[Reactie gewijzigd door XchangeVisions op woensdag 6 juni 2012 22:39]
en waarmee open je het bestand? Notepad trekt dat niet!
Edit:
Heb ondertussen Large Text File Viewer gebruikt.
Edit:
Heb ondertussen Large Text File Viewer gebruikt.
[Reactie gewijzigd door Timo002 op woensdag 6 juni 2012 16:11]
Ik denk dat Notepad++ het wel aankan. (http://notepad-plus-plus.org/)
Notepad2 heeft er ook geen problemen mee.
Ik heb hem met Wordpad geopend. Maar je moet er wel geduld voor hebben... 
Het gelekte bestand vind je o.a. hier.
Wat hierboven door ibidriv3r ook al gezegd wordt; je zoekt je eigen gegevens in deze zipfile even op en je kunt het zaakje aan de hand van bijvoorbeeld deze website verifyen. Have fun
Wat hierboven door ibidriv3r ook al gezegd wordt; je zoekt je eigen gegevens in deze zipfile even op en je kunt het zaakje aan de hand van bijvoorbeeld deze website verifyen. Have fun
Waar kunnen we dit controleren ?
LinkedIn is sowieso een beetje een rare website.
Niemand gebruikt het, niemand weet wat je ermee kunt maar toch is jet professioneel als je er een hebt...
ik snap echt niet wat je met LinedIn kunt, ik vind het gewoon een online cv waarbij je dan wat linkjes kunt maken met andere mensen, waarom?
Niemand gebruikt het, niemand weet wat je ermee kunt maar toch is jet professioneel als je er een hebt...
ik snap echt niet wat je met LinedIn kunt, ik vind het gewoon een online cv waarbij je dan wat linkjes kunt maken met andere mensen, waarom?
Het is precies wat jij zegt, en kan rete-handig zijn als je iemand zoekt met een bepaalde skillset.. je kunt daarbij meteen zijn/haar referenties aanspreken..
Ik ben zelf al een aantal keren benaderd door bedrijven die zich afvroegen of ik werk zocht.. Helaas voor hen zit ik momenteel prima op mijn plek
Sja, het is een soort "professionele" Facebook..
Ik ben zelf al een aantal keren benaderd door bedrijven die zich afvroegen of ik werk zocht.. Helaas voor hen zit ik momenteel prima op mijn plek
Sja, het is een soort "professionele" Facebook..
Jaja, en als je dan werk zoekt, hebben ze 'iets' maar mogen ze zogenaamd de naam van het bedrijf niet noemen.
En als je dan op gesprek gaat bij dat bedrijf (waarbij de vacature toch niet echt overeen komt met wat eerst gezegd werd) dan blijkt dat die tussenpersoon pas nadat hij contact met jou opgenomen had, contact heeft gelegd met het bedrijf waar hij zogenaamd voor werkte toen hij jou vroeg.
Het barst van de headhunters die proberen om mensen en vacatures te matchen in de hoop er een duizend euro bemiddelingskosten uit te slepen.
Of bemiddelingsbureaus die alleen maar een volle portefeuille willen kunnen tonen als iemand personeel zoekt.
Vaak sturen ze je al op gesprek als een paar trefwoorden in je cv en de vacature overeenkomen.
Die gasten hebben over het algemeen geen verstand van zaken (hebben geen idee wat je opleiding inhoud, kennen het verschil niet tussen een systeembeheerder en een programmeur, of tussen een gebruikers-interface en een usb-interface) en schieten met een kanon op een mug.
99% kans dat de vacature waar ze je voor benaderen helemaal niet bestaat.
Ik heb meegemaakt dat ik benaderd werd door een headhunter die zei in opdracht van een bedrijf te werken waar ik toevallig al aan het solliciteren was. Maar daar zeiden ze dat ze die persoon wel kenden van jaren geleden maar nooit meer hoefden te zien.
Ik heb zelfs meegemaakt dat ik werd benaderd met een IT-functie (die helemaal niet bleek te bestaan) maar ze hadden wel wat voor me als dakdekker
Tuurlijk, er is een kans dat je er iets aan hebt, maar in 99% van de gevallen is het iemand die je tijd verdoet in de hoop er geld aan te verdienen.
En als je dan op gesprek gaat bij dat bedrijf (waarbij de vacature toch niet echt overeen komt met wat eerst gezegd werd) dan blijkt dat die tussenpersoon pas nadat hij contact met jou opgenomen had, contact heeft gelegd met het bedrijf waar hij zogenaamd voor werkte toen hij jou vroeg.
Het barst van de headhunters die proberen om mensen en vacatures te matchen in de hoop er een duizend euro bemiddelingskosten uit te slepen.
Of bemiddelingsbureaus die alleen maar een volle portefeuille willen kunnen tonen als iemand personeel zoekt.
Vaak sturen ze je al op gesprek als een paar trefwoorden in je cv en de vacature overeenkomen.
Die gasten hebben over het algemeen geen verstand van zaken (hebben geen idee wat je opleiding inhoud, kennen het verschil niet tussen een systeembeheerder en een programmeur, of tussen een gebruikers-interface en een usb-interface) en schieten met een kanon op een mug.
99% kans dat de vacature waar ze je voor benaderen helemaal niet bestaat.
Ik heb meegemaakt dat ik benaderd werd door een headhunter die zei in opdracht van een bedrijf te werken waar ik toevallig al aan het solliciteren was. Maar daar zeiden ze dat ze die persoon wel kenden van jaren geleden maar nooit meer hoefden te zien.
Ik heb zelfs meegemaakt dat ik werd benaderd met een IT-functie (die helemaal niet bleek te bestaan) maar ze hadden wel wat voor me als dakdekker
Tuurlijk, er is een kans dat je er iets aan hebt, maar in 99% van de gevallen is het iemand die je tijd verdoet in de hoop er geld aan te verdienen.
Vergeet niet dat als je eenmaal een baan hebt dat de headhunters het bedrijf waar jij werkt mensen gaat aanbieden die aan jouw profiel voldoen.
Wat het gevolg is dat je ontslagen kan worden doordat ze een betere kandidaat hebben gevonden.
In het kort de enige mensen die iets aan linkdin hebben zijn de headhunters/detachering en de werkgevers en werklozen.
Werknemers met een tijdelijk contract moeten Linkdin en alle bureau's als de pest vermijden.
Niet je account deleten want die kan je nog nodig hebben als je werkloos bent.
Wat het gevolg is dat je ontslagen kan worden doordat ze een betere kandidaat hebben gevonden.
In het kort de enige mensen die iets aan linkdin hebben zijn de headhunters/detachering en de werkgevers en werklozen.
Werknemers met een tijdelijk contract moeten Linkdin en alle bureau's als de pest vermijden.
Niet je account deleten want die kan je nog nodig hebben als je werkloos bent.
Ik ben al hartstikke vaak benaderd voor een baan op linkedin. Het is inderdaad een soort online CV met socialenetwerkfunctie erin zodat mensen makkelijk banen of candidaten kunnen vinden, of een beetje contact kunnen houden met (ex-)collega's die ze misschien niet op facebook ofzo willen.
Zelf werk ik in de detachering en ben dus afhankelijk van projecten. Door mijn LinkedIn netwerk wordt ik regelmatig gewezen op potentiële opdrachten. Daarnaast zijn de diverse groepen op LinkedIn redelijk waardevol om up-to-date te blijven.
Toch lijkt het er op dat je dit soort berichten steeds vaker ziet en ook bij steeds grotere bedrijven. Uiteraard is het voor een hacker interessanter om zo'n grote site te pakken, maar je verwacht daarentegen ook dat de grote jongens het wel op orde hebben.
Als ik de reacties zo hier eens lees, lijkt dat in het geval van LinkedIn niet helemaal op te gaan. Slordig!
Toch lijkt het er op dat je dit soort berichten steeds vaker ziet en ook bij steeds grotere bedrijven. Uiteraard is het voor een hacker interessanter om zo'n grote site te pakken, maar je verwacht daarentegen ook dat de grote jongens het wel op orde hebben.
Als ik de reacties zo hier eens lees, lijkt dat in het geval van LinkedIn niet helemaal op te gaan. Slordig!
hm, ok.
ik ken zelf niemand die ooit iets nuttigs heeft gehad aan LinedIn.
behalve een hoop mails van mensen die je toe willen voegen hebben ze er nooit wat aan gehad.
Ik heb het zelf ook weer verwijderd, ik vind het overbodige ballast.
ik ken zelf niemand die ooit iets nuttigs heeft gehad aan LinedIn.
behalve een hoop mails van mensen die je toe willen voegen hebben ze er nooit wat aan gehad.
Ik heb het zelf ook weer verwijderd, ik vind het overbodige ballast.
Het wordt pas wat waard als je een keer iemand nodig hebt. Als je een baan zoekt is je LinkedIn netwerk een stuk effectiever dan het UWV of de krant.
Als je linkedin al niet nuttig vindt moet je facebook maar helemaal links laten liggen.
dit snap ik niet zo goed?
met facebook onderhoud ik contact met vrienden en familie, speel ik spellen, kan ik dingen winnen en kan ik praten over vanalles en nog wat.
de connectie met LinkedIn is?
met facebook onderhoud ik contact met vrienden en familie, speel ik spellen, kan ik dingen winnen en kan ik praten over vanalles en nog wat.
de connectie met LinkedIn is?
"Niemand gebruikt het" is echt niet waar. Er zijn meer Nederlanders met een LinkedIn account dan een Facebook account (eigen onderzoek, heb een Masters thesis geschreven over dit onderwerp).
Een online CV met daarbij informatie over wat voor mensen iemand kent is vooral voor 'hogere' functies enorm belangrijk!
Een online CV met daarbij informatie over wat voor mensen iemand kent is vooral voor 'hogere' functies enorm belangrijk!
Volgens Heuvel Marketing zijn er 2.6 mil nederlanders op linkedin en 6.5 mil nederlanders op facebook. Toegegeven, mogelijk niet de meeste betrouwbare bronnen, maar klopt ook *veel* meer met m'n eigen ervaringen.
Vergeet niet dat Facebook dus veel meer 'niet werkzoekenden' (lees: minderjarigen) en laag opgeleiden heeft
Dit alleen kan maar beter niet de conclusie van jouw onderzoek zijn. Immers is een account hebben niet gelijk aan een account gebruiken, en is 1 gebruiker niet gelijk aan 1 account."Niemand gebruikt het" is echt niet waar. Er zijn meer Nederlanders met een LinkedIn account dan een Facebook account (eigen onderzoek, heb een Masters thesis geschreven over dit onderwerp).
Als je zelf goed bent in netwerken zonder het gebruik van sociale sites, dan is LinkedIn overbodig, ook als je een 'hogere' functie bekleed. Helaas is dit een vaardigheid die steeds minder ontwikkeld wordt.Een online CV met daarbij informatie over wat voor mensen iemand kent is vooral voor 'hogere' functies enorm belangrijk!
[Reactie gewijzigd door The Zep Man op woensdag 6 juni 2012 15:13]
''cv'' is met kleine letters, ik hoop niet dat je dat in je ''Masters thesis'' ook zo geschreven hebt?
OT: Mijn password staat er niet tussen. Toch maar veranderd voor de zekerheid, ondanks het feit dat het weinig uit maakt voor de veiligheid van je account. Je kan nog zo'n sterk wachtwoord hebben, als het niet goed beveiligd wordt opgeslagen, heb je er natuurlijk helemaal niets aan.
OT: Mijn password staat er niet tussen. Toch maar veranderd voor de zekerheid, ondanks het feit dat het weinig uit maakt voor de veiligheid van je account. Je kan nog zo'n sterk wachtwoord hebben, als het niet goed beveiligd wordt opgeslagen, heb je er natuurlijk helemaal niets aan.
Spreek voor uzelf, ik heb m'n huidige baan (consultant, software development, goedbetaald) dankzij Linkedin, via een collega die ik via Linkedin na 5 jaar weer gevonden heb, .
.Jij wilt niet weten hoeveel waardevolle connecties ik al via LinkedIn gekregen heb. Ook al diverse malen een nieuwe baan gevonden of uitgenodigd om te komen solliciteren via LinkedIn. Voor mij een heeeeel stuk waardevoller dan twitter, facebook enz..
Ik vind het echt super slecht dat ze sha-1 gebruiken en dan ook nog zonder salt.
Een beetje normaal webbedrijf zou toch minimaal sha256 of sha512 met een redelijke salt moeten gebruiken.
Een beetje normaal webbedrijf zou toch minimaal sha256 of sha512 met een redelijke salt moeten gebruiken.
Om 14:29 een mail naar Tweakers gedaan en nu staat het al online.. Goed bezig.
Voor de mensen die naar hun wachtwoord willen kijken: Hier staan de lijsten.
Inderdaad de wachtwoorden zijn dus niet goed versleuteld. Het gaat hier inderdaad om SHA-1 wachtwoorden. Mijn wachtwoord staat er niet tussen zag ik. Gelukkig maar
Edit: Inderdaad Borft.
Voor de mensen die naar hun wachtwoord willen kijken: Hier staan de lijsten.
Inderdaad de wachtwoorden zijn dus niet goed versleuteld. Het gaat hier inderdaad om SHA-1 wachtwoorden. Mijn wachtwoord staat er niet tussen zag ik. Gelukkig maar
Edit: Inderdaad Borft.
[Reactie gewijzigd door Dutchiee op woensdag 6 juni 2012 14:47]
Dank voor de link. Die server staat nu al te roken
Is het nu onversleuteld of ge-sha1-ed? (Als dan niet gesalted.)
SHA-1 inderdaad, wat ontsleuteld zou kúnnen worden
de wachtwoorden zijn dus niet onversleuteld; je spreekt jezelf tegen het is dus met sha-1 versleuteld.
het is dus met sha-1 versleuteld.Het is gehashed en niet versleuteld. Dat zijn 2 verschillende dingen
Het is toch beter gehashed dan versleuteld. Als ze versleuteld zijn kunnen dieven even goed ook de sleutel stelen terwijl ze toch op de server zitten. Dan kunnen ze direct alle wachtwoorden ontsleutelen. Bij gelekte hashes kunnen enkel de zwakke wachtwoorden ontsleuteld worden.
Het zal me niet verbazen als die alleen maar een sample is... Dat jou wachtwoord er niet tussen staat betekent nog niet dat ze hem niet hebben
Dat wil niet zeggen dat ze die niet hebben
Als de hash van Ronald Prins ertussen staat hoeft dat niet te betekenen dat het echt is.
Het kan zijn dat dit gewoon een dump van hashes is en dat zijn Welkom01-hash er *toevallig* tussenstaat.
Het kan zijn dat dit gewoon een dump van hashes is en dat zijn Welkom01-hash er *toevallig* tussenstaat.
Ja dat klopt, echter lijkt het me vrij sterk dat de directeur van een beveiligingsbedrijf een wachtwoord gebruikt, die ook iemand anders zou kunnen gebruiken.
het lijkt mij vrij sterk dat hij een wachtwoord gebruikt die iemand anders *niet* zou kunnen gebruiken.
Hoezo niet, iemand anders kan zijn hond ook best Fikkie genoemd hebben? Hij is ook maar een mens en de gemiddelde mens kan nou eemaal geen 12 veilige wachtwoorden als 76tzzk$bhj"8aw onthouden.
Hij is ook maar een mens en de gemiddelde mens kan nou eemaal geen 12 veilige wachtwoorden als 76tzzk$bhj"8aw onthouden.hij zegt dat zijn has in de database staat (ik neem aan dat hij de lijst bedoeld) dat wilt dus juist betekenen dat zijn wachtwoord er wel tussenstaat
Oorspronkelijk stond er een andere tweet.
Hier na te lezen: https://twitter.com/#!/cryptoronhmmm linkedin database zou nu rondgaan. Simpele md5's van mijn wachtwoorden komen er niet in voor. Misschien gesalt
Het is wel erg kort door de bocht dat er wanneer Ronald aangeeft dat zijn wachtwoord in de database staat dat de gehele database is leeg getrokken.
Het kan ook het geval zijn dat Ronald niet zo'n uniek wachtwoord gebruikt heeft en iemand anders op het netwerk precies hetzelfde wachtwoord heeft (je weet maar nooit).
Daarnaast zie je op een gegeven moment in de lijst veel 00000 voor de wachtwoorden. Een SHA1 encryptie kan als ik het goed heb geen collisions (zoek 'collisions') vertonen waardoor de hash met 00000 begint.
Het is meteen van het ergste uitgaan, tuurlijk 6.5 hashes is erg, maar het zijn niet gelijk alle wachtwoorden. En helemaal niet omdat iemand met veel volgers zijn wachtwoord toevallig in de database staat.
Het kan ook het geval zijn dat Ronald niet zo'n uniek wachtwoord gebruikt heeft en iemand anders op het netwerk precies hetzelfde wachtwoord heeft (je weet maar nooit).
Daarnaast zie je op een gegeven moment in de lijst veel 00000 voor de wachtwoorden. Een SHA1 encryptie kan als ik het goed heb geen collisions (zoek 'collisions') vertonen waardoor de hash met 00000 begint.
Het is meteen van het ergste uitgaan, tuurlijk 6.5 hashes is erg, maar het zijn niet gelijk alle wachtwoorden. En helemaal niet omdat iemand met veel volgers zijn wachtwoord toevallig in de database staat.
Klopt, erg frappant. Als je door de lijst scrollt dan zie je dat de eerste 8 tekens vooral oplopen (van 00000a9 t/m 00000fa8), waarbij die nullen soms vervangen worden door random data. De overige 32 tekens lijken zo goed als random.Daarnaast zie je op een gegeven moment in de lijst veel 00000 voor de wachtwoorden.
Da's natuurlijk onzin. Het is een hash, en een hash heeft per definitie collisions aangezien het aantal inputs oneindig is en het aantal outputs eindig (2160) (Pigeonhole principle). Maar zelfs met een volle database van 161 miljoen hashes is het erg onwaarschijnlijk dat er zoveel hashes zijn die beginnen met nullen.Een SHA1 encryptie kan als ik het goed heb geen collisions (zoek 'collisions') vertonen waardoor de hash met 00000 begint.
[Reactie gewijzigd door .oisyn op woensdag 6 juni 2012 16:11]
De meerderheid van de hashes (meer dan 3,3 miljoen) is tot 140 bits lang, met voorloop nullen. Dit zijn dan waarschijnlijk geen SHA1 hashes. Geen van deze hashes is nog gekraakt.
Als iedereen er van uit gaat dat het hele bestand alleen SHA1-hashes zonder salt bevat, en tot de conclusie komt dat hun wachtwoord er niet bij staat, dan kan dit nog wel eens anders zijn.
Enige idee welk algoritme of combinatie van een algoritme en een checksum een 140-bit hash genereert? Misschien MD5 (of MD4) met een paar extra bits? Aangezien LinkedIn in de SHA1 hash geen salt gebruikt kunnen we er van uit gaan dat dat in een vroeger gebruikt algoritme, bijvoorbeeld MD5, ook niet het geval was.
Edit: het valt me zelfs op dat de eerste hashes met voorloop nullen allemaal beginnen met 000000a9, gevolgd door een willekeurige reeks. Omdat er geen ordening in de hashes lijkt te zitten is de kans dat zo'n reeks zo vaak achter elkaar voor komt niet zo groot. Daarom denk ik dat de rest de eigenlijke 128-bit hash is. Dit komt overeen met MD5 en MD4. De 000000a9 zou dan een indicator van LinkedIn kunnen zijn voor het type wachtwoord, of een checksum, of iets dergelijks.
Edit 2: @metaal:
Ik kan me voorstellen dat degene die ze online heeft geplaatst deze wachtwoorden reeds had gekraakt. Om te voorkomen dat anderen er opnieuw moeite voor gingen doen zou hij dan de eerste karakters hebben kunnen vervangen. Op die manier kan hij toch de grootte van de vangst aanduiden, inclusief de al reeds ontcijferde wachtwoorden die meer dan de helft uitmaken.
Edit 3: Voor de gewone LinkedIn gebruiker: ik heb snel een programma'tje geschreven dat de SHA1 hash van je wachtwoord berekent en vergelijkt met de hashes in een bestand.
Als iedereen er van uit gaat dat het hele bestand alleen SHA1-hashes zonder salt bevat, en tot de conclusie komt dat hun wachtwoord er niet bij staat, dan kan dit nog wel eens anders zijn.
Enige idee welk algoritme of combinatie van een algoritme en een checksum een 140-bit hash genereert? Misschien MD5 (of MD4) met een paar extra bits? Aangezien LinkedIn in de SHA1 hash geen salt gebruikt kunnen we er van uit gaan dat dat in een vroeger gebruikt algoritme, bijvoorbeeld MD5, ook niet het geval was.
Edit: het valt me zelfs op dat de eerste hashes met voorloop nullen allemaal beginnen met 000000a9, gevolgd door een willekeurige reeks. Omdat er geen ordening in de hashes lijkt te zitten is de kans dat zo'n reeks zo vaak achter elkaar voor komt niet zo groot. Daarom denk ik dat de rest de eigenlijke 128-bit hash is. Dit komt overeen met MD5 en MD4. De 000000a9 zou dan een indicator van LinkedIn kunnen zijn voor het type wachtwoord, of een checksum, of iets dergelijks.
Edit 2: @metaal:
You're dead on! Blijkt dat hoewel ik mijn wachtwoord eerst niet kon vinden, als ik de eerste 8 karakters weglaat ik mijn wachtwoord wel kan vinden! Dus aan iedereen: zoek je je wachtwoord in de lijst op? Laat dan de eerste 8 karakters weg.In het bestand staan volgens mij gewoon SHA-1 hashes, waarvan de eerste 8 karakters (=4 bytes) zijn vervangen door iets anders (bijvoorbeeld dus 000000a9). Als ik op die manier naar wat 'populaire' wachtwoorden zoek klopt dit aardig (als ik naar onwaarschijnlijke wachtwoorden zoek vind ik ze ook niet).
Ik kan me voorstellen dat degene die ze online heeft geplaatst deze wachtwoorden reeds had gekraakt. Om te voorkomen dat anderen er opnieuw moeite voor gingen doen zou hij dan de eerste karakters hebben kunnen vervangen. Op die manier kan hij toch de grootte van de vangst aanduiden, inclusief de al reeds ontcijferde wachtwoorden die meer dan de helft uitmaken.
Edit 3: Voor de gewone LinkedIn gebruiker: ik heb snel een programma'tje geschreven dat de SHA1 hash van je wachtwoord berekent en vergelijkt met de hashes in een bestand.
- Download het programma hier, inclusief broncode
- Download het bestand met LinkedIn hashes (link is wel ergens tussen deze reacties te vinden)
- Sleep het uitgepakte tekstbestand naar het programma om het te starten
[Reactie gewijzigd door Virtlink op woensdag 6 juni 2012 19:44]
In het bestand staan volgens mij gewoon SHA-1 hashes, waarvan de eerste 8 karakters (=4 bytes) zijn vervangen door iets anders (bijvoorbeeld dus 000000a9). Als ik op die manier naar wat 'populaire' wachtwoorden zoek klopt dit aardig (als ik naar onwaarschijnlijke wachtwoorden zoek vind ik ze ook niet).
Ik heb alleen nog geen enkele hash meer dan 1 maal gevonden. Misschien bevat het bestand 6,5 miljoen hashes i.p.v. 161 miljoen omdat alle dubbele entries eruit zijn gehaald???
Ik heb alleen nog geen enkele hash meer dan 1 maal gevonden. Misschien bevat het bestand 6,5 miljoen hashes i.p.v. 161 miljoen omdat alle dubbele entries eruit zijn gehaald???
Ik heb ook even op de laatste X digits gezocht van de SHA1 van mijn wachtwoord en het staat erin.
De eerste X digits van mijn gehashte wachtwoord:
0f2388be3682c70b330d28....
En de match in de wachtwoord-file:
000008be3682c70b330d28....
Dus maar eens gaan bedenken waar ik dat gebruikt heb en dan veranderen.
De eerste X digits van mijn gehashte wachtwoord:
0f2388be3682c70b330d28....
En de match in de wachtwoord-file:
000008be3682c70b330d28....
Dus maar eens gaan bedenken waar ik dat gebruikt heb en dan veranderen.
Virtlink, super bedankt, geweldig! Dit 'programmaatje' mag groots op de voorpagina gezet worden mij betreft!
Helaas staat mijn wachtwoord er ook tussen, al is die ook vrij generiek, dus zal me niks verbazen als andere mensen hetzelfde wachtwoord hebben...
Helaas staat mijn wachtwoord er ook tussen, al is die ook vrij generiek, dus zal me niks verbazen als andere mensen hetzelfde wachtwoord hebben...
Aangepast en een email rond gestuurd naar belangrijke contacten.
Inderdaad erg erg slecht van LI.
De link naar de server
phpBB : Critical Error
Could not connect to the database
Inderdaad erg erg slecht van LI.
De link naar de server
phpBB : Critical Error
Could not connect to the database
[Reactie gewijzigd door sokolum01 op woensdag 6 juni 2012 14:43]
Niet echt professioneel voor zo'n website voor professionals....
Op dit item kan niet meer gereageerd worden.
Populair: Samsung Websites en communities Mobiele telefoons Google Sony Games Microsoft Politiek en recht Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
