LinkedIn heeft laten weten dat het ervan uitgaat dat de database met inloggegevens van 117 miljoen LinkedIn-gebruikers echt is. De database werd op internet te koop aangeboden voor 5 bitcoin, omgerekend ongeveer 2000 euro.
LinkedIn heeft besloten de wachtwoorden van gebruikers opnieuw in te stellen, als zij hun account voor de hack van 2012 hebben aangemaakt en hun wachtwoorden sindsdien niet meer hebben gewijzigd. Met deze maatregel reageert het bedrijf op het online verschijnen van de database met gegevens, afkomstig van een hack die in 2012 heeft plaatsgevonden. Na de hack leek het erop dat er 6,5 miljoen inloggegevens waren buitgemaakt, omdat deze verschenen op een Russische site. Nu blijkt dat het om veel meer gegevens gaat. Bij de gegevens gaat het om 117 miljoen combinaties van gebruikersnamen en wachtwoorden, die zonder salt gehasht zijn met sha1 en daardoor redelijk eenvoudig te kraken zijn.
Een woordvoerder van LinkedIn liet aan beveiligingsonderzoeker Brian Krebs weten dat het bedrijf de database inmiddels in handen heeft en ervan uitgaat dat het inderdaad om gegevens van zijn gebruikers gaat. Daarbij zijn er 'geen aanwijzingen dat de gegevens voortkomen uit een nieuw beveiligingsincident'. LinkedIn onderzoekt nog hoeveel van die gebruikers op dit moment nog actief zijn.
Krebs vroeg aan het bedrijf waarom er in 2012 niet voor is gekozen om de wachtwoorden van alle gebruikers opnieuw in te stellen. Daarop gaf de woordvoerder als antwoord dat 'het bedrijf op dat moment deed wat de beste optie leek voor de gebruikers, door de getroffenen te beschermen en de LinkedIn-beleving van overige gebruikers niet te verstoren'. Het is onduidelijk of LinkedIn destijds aanwijzingen had, waaruit bleek dat de hack daadwerkelijk een grote omvang had.
LinkedIn zegt in zijn blogpost de getroffen gebruikers te informeren over het opnieuw instellen van hun wachtwoord en voegt daaraan toe dat het doorgaans verstandig is om wachtwoorden regelmatig te veranderen. In 2013 introduceerde de dienst tweetrapsauthenticatie, waarmee een aanvullende beveiligingslaag aan een account kan worden toegevoegd. De dienst stelt dat het de aanbieders van de database heeft gevraagd deze van het internet af te halen en zegt juridische stappen te overwegen indien zij geen gehoor geven aan het verzoek.
Los van de wachtwoordreset door LinkedIn wijzen verschillende beveiligingsbedrijven erop dat het voor alle gebruikers van de site verstandig is om hun wachtwoord te veranderen. Dit geldt ook als hetzelfde wachtwoord in gebruik is voor accounts op andere sites. De 117 miljoen inloggegevens zijn op dit moment nog niet doorzoekbaar via de site 'have I been pwned', waar gebruikers kunnen nagaan of hun e-mailadres of gebruikersnaam voorkomt tussen gegevens die zijn buitgemaakt bij verschillende hacks.