Op het internet zijn de wachtwoorden van miljoenen gebruikers van LinkedIn gepubliceerd. Op een Russische website zijn 6,5 miljoen wachtwoord-hashes verschenen. De sociale-netwerksite heeft de hack bevestigd en actie ondernomen.
LinkedIn heeft woensdagavond bevestigd dat de versleutelde wachtwoorden gekoppeld kunnen worden aan accounts van de site. Gebruikers van getroffen accounts kunnen niet meer met hun wachtwoord inloggen en ontvangen van LinkedIn instructies hoe ze hun wachtwoord kunnen resetten. Op de achtergrond heeft LinkedIn technische maatregelen genomen door de in de database opgeslagen versleutelde wachtwoorden alsnog te voorzien van een salt.
De sociale-netwerksite heeft hiertoe besloten nadat het eerder op de dag stelde dat het op de hoogte was gebracht van een bestand dat zou circuleren op het internet met daarin wachtwoorden. Het lijkt te gaan om een verouderde database met wachtwoorden. Een blik op het bestand wijst uit dat het gaat om circa 6,5 miljoen sha1-wachtwoord-hashes, zonder bijbehorende accountinformatie. Het is echter waarschijnlijk dat ze die wel bemachtigd hebben. De zakelijke sociale-netwerksite heeft in totaal 161 miljoen gebruikers.
Op Twitter melden verschillende LinkedIn-gebruikers, waaronder de directeur van beveiligingsbedrijf Fox-IT Ronald Prins, dat ze hun wachtwoord-hash kunnen terugvinden in de lijst met wachtwoorden. Dat betekent dat er geen salt is gebruikt: een waarde die aan een wachtwoord wordt toegevoegd om het minder gevoelig voor rainbow tables te maken.
Het lijkt er op dat de lijst werd uitgewisseld op een forum waar hulp aan andere gebruikers werd gevraagd om de wachtwoorden te ontcijferen. Bijna 300.000 wachtwoorden zouden al zijn gekraakt. Eerder op woensdag kwam LinkedIn in het nieuws omdat via de iOS-app gegevens uit de kalender onbeveiligd naar een LinkedIn-server zouden worden verzonden. LinkedIn zegt op Twitter de zaak te onderzoeken.
Update, 17:03: Het lijkt te gaan om een verouderde database met wachtwoorden. Deze informatie is in het artikel verwerkt.
Update 22:00 LinkedIn heeft de hack bevestigd. Het artikel is hier op aangepast.