Wachtwoorden miljoenen LinkedIn-gebruikers op straat - update

Op het internet zijn de wachtwoorden van miljoenen gebruikers van LinkedIn gepubliceerd. Op een Russische website zijn 6,5 miljoen wachtwoord-hashes verschenen. De sociale-netwerksite heeft de hack bevestigd en actie ondernomen.

LinkedIn heeft woensdagavond bevestigd dat de versleutelde wachtwoorden gekoppeld kunnen worden aan accounts van de site. Gebruikers van getroffen accounts kunnen niet meer met hun wachtwoord inloggen en ontvangen van LinkedIn instructies hoe ze hun wachtwoord kunnen resetten. Op de achtergrond heeft LinkedIn technische maatregelen genomen door de in de database opgeslagen versleutelde wachtwoorden alsnog te voorzien van een salt.

De sociale-netwerksite heeft hiertoe besloten nadat het eerder op de dag stelde dat het op de hoogte was gebracht van een bestand dat zou circuleren op het internet met daarin wachtwoorden. Het lijkt te gaan om een verouderde database met wachtwoorden. Een blik op het bestand wijst uit dat het gaat om circa 6,5 miljoen sha1-wachtwoord-hashes, zonder bijbehorende accountinformatie. Het is echter waarschijnlijk dat ze die wel bemachtigd hebben. De zakelijke sociale-netwerksite heeft in totaal 161 miljoen gebruikers.

Op Twitter melden verschillende LinkedIn-gebruikers, waaronder de directeur van beveiligingsbedrijf Fox-IT Ronald Prins, dat ze hun wachtwoord-hash kunnen terugvinden in de lijst met wachtwoorden. Dat betekent dat er geen salt is gebruikt: een waarde die aan een wachtwoord wordt toegevoegd om het minder gevoelig voor rainbow tables te maken.

Het lijkt er op dat de lijst werd uitgewisseld op een forum waar hulp aan andere gebruikers werd gevraagd om de wachtwoorden te ontcijferen. Bijna 300.000 wachtwoorden zouden al zijn gekraakt. Eerder op woensdag kwam LinkedIn in het nieuws omdat via de iOS-app gegevens uit de kalender onbeveiligd naar een LinkedIn-server zouden worden verzonden. LinkedIn zegt op Twitter de zaak te onderzoeken.

Update, 17:03: Het lijkt te gaan om een verouderde database met wachtwoorden. Deze informatie is in het artikel verwerkt.

Update 22:00 LinkedIn heeft de hack bevestigd. Het artikel is hier op aangepast.

Door Joost Schellevis

Redacteur

06-06-2012 • 14:34

339 Linkedin

Submitter: Dutchiee.tv

Lees meer

Reacties (339)

339
323
225
49
0
56
Wijzig sortering
Ik had een support ticket aangemaakt bij LinkedIn omdat ik ineens spam op een LinkedIn@mijndomein.nl adres kreeg. Ik kreeg de reactie:

"I'm very sorry for this inconvenience. I took a look at the screen shot and don't see any reference to LinkedIn and it looks like it didn't come from LinkedIn. Please know your privacy is always a top concern. We've worked hard to earn and keep your trust, so we adhere to the following principles to protect your privacy:"

Maar ze hebben dus wel meer dan enkel het wachtwoord en ik zit er dan vast ook wel tussen..
Fijn :X

Mijn wachtwoord staat er dus niet tussen.. Maar het lijkt me dat ze dan toch wel meer hebben dan de lijst die nu beschikbaar is? Want het is wel heel toevallig dat ik ineens spam krijg op dat adres.. Dus ik zou er niet blind van uitgaan dat dit alles is!

[Reactie gewijzigd door dieselb0y op 6 juni 2012 15:20]

Ik heb ook sinds 2 weken spam op een account wat BIJNA niemand heeft. Nooit SPAM op gehad tot sinds kort. Het is geen unieke voor alleen linkedin, dus ik heb geen keihard bewijs, maar wel een email adres dat slechts een paar man heeft en ik verder nooit invul ergens (helaas wel op linkedin als primary adres).

De spam is voor van/voor casino's, Nederlandstalig geschreven. Zo'n 1 in de 1 a 2 dagen. Bij jullie ook toevallig?

@hieronder: das slecht nieuws!!! Altijd perfect adres zonder spam gehad.. tot nu..

[Reactie gewijzigd door elpino.rv op 6 juni 2012 16:12]

Inderdaad, me2.

Sinds 2 weken dagelijks Casino-spam op een uniek emailadres dat alleen bekend is op de servers van Linkedin.
Ik had al gedacht "pffft, die zijn gehacked!", vanaf het moment dat ik de spam op dat betreffende emailadres begon te ontvangen.
Ja, ik heb precies dezelfde soort spam ontvangen!

Dus dan kunnen we nu wel concluderen dat onze e-mail adressen die bij Linkedin bekend zijn in een spamlijst staan.. :'(
Jup exact het zelfde.
De spam is voor van/voor casino's, Nederlandstalig geschreven. Zo'n 1 in de 1 a 2 dagen. Bij jullie ook toevallig?

Als je een klap hoort is dat het kwartje dat bij mij valt...
Verdomd, komt dat daar vandaan???

Ik heb al enkele berichten doorgestuurd naar de OPTA, maar ik geloof niet dat die er echt iets mee doen... :'(
Ik heb al enkele berichten doorgestuurd naar de OPTA, maar ik geloof niet dat die er echt iets mee doen...
OPTA werkt op basis van hun eigen capaciteit (vrij logisch natuurlijk): ze beginnen dus met het aanpakken van die bedrijven (die spam sturen) die het vaakst in een spamklacht voorkomen. In de praktijk houdt dat in dat alleen die bedrijven worden aangepakt waarover veel klachten binnenkomen.
Ik had een support ticket aangemaakt bij LinkedIn omdat ik ineens spam op een LinkedIn@mijndomein.nl adres kreeg.
Hier bij mij thuis, krijgen we ook sinds een week of 2 spam op mail adressen die 100% alleen op LinkedIn gebruikt worden ... Was al bang dat er iets op stapel stond :/
HIer ook, mijn linkedin@mijndomein heeft ook spam gekregen. Elke dag persoonlijk aanbod van casino spam in het Nederlands. Adres is speciaal voor linkedin aangemaakt. Tot hiervoor was ik altijd spam vrij.

[Reactie gewijzigd door - peter - op 6 juni 2012 23:24]

Anoniem: 429159
6 juni 2012 14:41
Het is wel erg kort door de bocht dat er wanneer Ronald aangeeft dat zijn wachtwoord in de database staat dat de gehele database is leeg getrokken.

Het kan ook het geval zijn dat Ronald niet zo'n uniek wachtwoord gebruikt heeft en iemand anders op het netwerk precies hetzelfde wachtwoord heeft (je weet maar nooit).

Daarnaast zie je op een gegeven moment in de lijst veel 00000 voor de wachtwoorden. Een SHA1 encryptie kan als ik het goed heb geen collisions (zoek 'collisions') vertonen waardoor de hash met 00000 begint.

Het is meteen van het ergste uitgaan, tuurlijk 6.5 hashes is erg, maar het zijn niet gelijk alle wachtwoorden. En helemaal niet omdat iemand met veel volgers zijn wachtwoord toevallig in de database staat.
De meerderheid van de hashes (meer dan 3,3 miljoen) is tot 140 bits lang, met voorloop nullen. Dit zijn dan waarschijnlijk geen SHA1 hashes. Geen van deze hashes is nog gekraakt.

Als iedereen er van uit gaat dat het hele bestand alleen SHA1-hashes zonder salt bevat, en tot de conclusie komt dat hun wachtwoord er niet bij staat, dan kan dit nog wel eens anders zijn.

Enige idee welk algoritme of combinatie van een algoritme en een checksum een 140-bit hash genereert? Misschien MD5 (of MD4) met een paar extra bits? Aangezien LinkedIn in de SHA1 hash geen salt gebruikt kunnen we er van uit gaan dat dat in een vroeger gebruikt algoritme, bijvoorbeeld MD5, ook niet het geval was.

Edit: het valt me zelfs op dat de eerste hashes met voorloop nullen allemaal beginnen met 000000a9, gevolgd door een willekeurige reeks. Omdat er geen ordening in de hashes lijkt te zitten is de kans dat zo'n reeks zo vaak achter elkaar voor komt niet zo groot. Daarom denk ik dat de rest de eigenlijke 128-bit hash is. Dit komt overeen met MD5 en MD4. De 000000a9 zou dan een indicator van LinkedIn kunnen zijn voor het type wachtwoord, of een checksum, of iets dergelijks.

Edit 2: @metaal:
In het bestand staan volgens mij gewoon SHA-1 hashes, waarvan de eerste 8 karakters (=4 bytes) zijn vervangen door iets anders (bijvoorbeeld dus 000000a9). Als ik op die manier naar wat 'populaire' wachtwoorden zoek klopt dit aardig (als ik naar onwaarschijnlijke wachtwoorden zoek vind ik ze ook niet).
You're dead on! Blijkt dat hoewel ik mijn wachtwoord eerst niet kon vinden, als ik de eerste 8 karakters weglaat ik mijn wachtwoord wel kan vinden! Dus aan iedereen: zoek je je wachtwoord in de lijst op? Laat dan de eerste 8 karakters weg.

Ik kan me voorstellen dat degene die ze online heeft geplaatst deze wachtwoorden reeds had gekraakt. Om te voorkomen dat anderen er opnieuw moeite voor gingen doen zou hij dan de eerste karakters hebben kunnen vervangen. Op die manier kan hij toch de grootte van de vangst aanduiden, inclusief de al reeds ontcijferde wachtwoorden die meer dan de helft uitmaken.

Edit 3: Voor de gewone LinkedIn gebruiker: ik heb snel een programma'tje geschreven dat de SHA1 hash van je wachtwoord berekent en vergelijkt met de hashes in een bestand.
  • Download het programma hier, inclusief broncode
  • Download het bestand met LinkedIn hashes (link is wel ergens tussen deze reacties te vinden)
  • Sleep het uitgepakte tekstbestand naar het programma om het te starten

[Reactie gewijzigd door Virtlink op 6 juni 2012 19:44]

In het bestand staan volgens mij gewoon SHA-1 hashes, waarvan de eerste 8 karakters (=4 bytes) zijn vervangen door iets anders (bijvoorbeeld dus 000000a9). Als ik op die manier naar wat 'populaire' wachtwoorden zoek klopt dit aardig (als ik naar onwaarschijnlijke wachtwoorden zoek vind ik ze ook niet).

Ik heb alleen nog geen enkele hash meer dan 1 maal gevonden. Misschien bevat het bestand 6,5 miljoen hashes i.p.v. 161 miljoen omdat alle dubbele entries eruit zijn gehaald???
Ik heb ook even op de laatste X digits gezocht van de SHA1 van mijn wachtwoord en het staat erin.
De eerste X digits van mijn gehashte wachtwoord:
0f2388be3682c70b330d28....
En de match in de wachtwoord-file:
000008be3682c70b330d28....
Dus maar eens gaan bedenken waar ik dat gebruikt heb en dan veranderen.
Virtlink, super bedankt, geweldig! Dit 'programmaatje' mag groots op de voorpagina gezet worden mij betreft!
Helaas staat mijn wachtwoord er ook tussen, al is die ook vrij generiek, dus zal me niks verbazen als andere mensen hetzelfde wachtwoord hebben...
Daarnaast zie je op een gegeven moment in de lijst veel 00000 voor de wachtwoorden.
Klopt, erg frappant. Als je door de lijst scrollt dan zie je dat de eerste 8 tekens vooral oplopen (van 00000a9 t/m 00000fa8), waarbij die nullen soms vervangen worden door random data. De overige 32 tekens lijken zo goed als random.
Een SHA1 encryptie kan als ik het goed heb geen collisions (zoek 'collisions') vertonen waardoor de hash met 00000 begint.
Da's natuurlijk onzin. Het is een hash, en een hash heeft per definitie collisions aangezien het aantal inputs oneindig is en het aantal outputs eindig (2160) (Pigeonhole principle). Maar zelfs met een volle database van 161 miljoen hashes is het erg onwaarschijnlijk dat er zoveel hashes zijn die beginnen met nullen.

[Reactie gewijzigd door .oisyn op 6 juni 2012 16:11]

Uuhmm wacht even... Dit klinkt erg eng maar dat is het niet noodzakelijk dat jou accountgegevens zijn gestolen als je wachtwoord in de lijst voorkomt... In deze lijst zitten (wanneer alle beweringen waar zijn) maar 4% van de wachtwoorden in die linkedIn heeft.

Het advies om je wachtwoord te veranderen blijft echter zeer correct.

Wanneer je je eigen wachtwoord controleert check je echter alleen of er iemand uit deze groep hetzelfde wachtwoord heeft als jezelf. Wanneer je een minder zeldzaam wachtwoord hebt is de kans zelfs best groot dat deze er tussen zal staan.

Het is echter interessant om te zien of je wachtwoord "zeldzaam" is (en dus niet in een willekeurige steekproef van 6miljien wachtwoorden staat). Wanneer je wachtwoord in deze lijst voorkomt is er een aanzienlijke kans dat deze ook wel in rainbow-tables voorkomt.

Misschien iets voor Tweakers om er een kort scriptje voor te maken met als uitkomsten: "je wachtwoord is wel/niet vaak gebruikt ". Tweakers vertrouw ik er iets beter in als een bestandje van een externe site waar mensen komen die handig genoeg zijn om sites als linkedIn te hacken.
Misschien iets voor Tweakers om er een kort scriptje voor te maken met als uitkomsten: "je wachtwoord is wel/niet vaak gebruikt ". Tweakers vertrouw ik er iets beter in als een bestandje van een externe site waar mensen komen die handig genoeg zijn om sites als linkedIn te hacken.
Dat kan niet, wachtwoorden op tweakers worden tegenwoordig gesalt, waardoor gebruiksstatistieken van een wachtwoord dus niet meer zijn te achterhalen aangezien "gehiem" voor user Pietje anders wordt gehashed dan voor user Henkie.
haha, Ik bedoel ook niet om de wachtwoorden van Tweakers.net te gebruiken maar de wachtwoordentabel die is uitgelekt bij LinkedIn. ;) Het aantal wachtwoorden dat zich daarin bevind daarin is een stuk groter. Daarbij is het inmiddels een "algemeen verkrijgbaar" document dus je kunt er geen schade mee uithalen. Misschien is het op deze manier toch nog nuttig te gebruiken voor mensen met goede (zichzelf beschermen) intenties.

Het zou vanzelfsprekend zeer onverstandig zijn wanneer Tweakers.net het mogelijk zou maken om uit te zoeken welke wachtwoorden het populairste zijn op hun eigen site. :+
Wat ik me altijd afvraag bij dit soort berichten: waarom hebben ze 6.5 miljoen wachtwoorden buitgemaakt en niet alle 161 miljoen? Het lijkt mij dat alle wachtwoorden in één bestand bewaard worden, dus als dat bestand buitgemaakt wordt dat meteen ook alle wachtwoorden op straat liggen. Of zou het gelekte bestand echt al zo oud zijn dat het uit de tijd stamt toen linkedin nog maar 6.5 miljoen gebruikers had?

[Reactie gewijzigd door Bonez0r op 7 juni 2012 13:14]

Anoniem: 307871
@Bonez0r7 juni 2012 13:45
Wie kan weten of dit gepubliceerd bestand van 6.5 miljoen wachtwoorden volledig is, of alleen deel 1 van 25?
Mijn eigen wachtwoord zat er niet tussen, dus het is duidelijk geen complete lijst. Uiteraard wel direct mijn wachtwoord gewijzigd.

-edit-
Mijn advies aan allen is dus: Verander je LinkedIn-wachtwoord ASAP!

[Reactie gewijzigd door TvdW op 6 juni 2012 14:37]

het is duidelijk geen complete lijst.
Dat had ik je ook wel kunnen vertellen..
gaat het om 6,5 miljoen wachtwoorden die zijn geüpload,[..] De zakelijke sociale-netwerksite heeft in totaal 161 miljoen gebruikers.
Wachtwoord lijst: Klik

De site wordt wel zwaar belast dus de kans dat je een database error krijgt is aanwezig.

Alternatieve locatie dankzij jw_moonshine : klik

[Reactie gewijzigd door kaluro2 op 6 juni 2012 15:04]

SHA-1 hash van je ww genereren kan hier.

DISCLAIMER: De hash wordt middels javascript clientside gegenereerd. Ik geef de garantie dat niets naar de server wordt gestuurd, en dit is natuurlijk te controleren door de javascript sources van die pagina te bekijken.

.edit: Nu ook beschikbaar achter HTTPS zodat een man-in-the-middle niet stiekem de javascript kan aanpassen zodat hij de gegevens wél kan capturen :). Bovenstaande link aangepast.

[Reactie gewijzigd door .oisyn op 6 juni 2012 16:19]

Of je doet dat gewoon zo in de terminal: echo -n mypassword | openssl dgst -sha1
Als je er dan ook nog even een spatie voor zet staat je wachtwoord ook niet in je history. (iig bij zsh en bash)
Dus voor de duidelijkheid, voor iedereen met OS X/linux:
Het commando is het volgende, zonder haakjes natuurlijk en MET de spatie ervoor:
" grep `echo -n eaglelinkedin | shasum | cut -c6-40` combo_not.txt"


Om te testen of het werkt hier een aantal wachtwoorden die erin staan:
- eaglelinkedin
- nathanlinkedin
- secret
- qwerty
- mohammed
- 123456
- 1234567
- 12345678
- 123456789
- password
- passwordpassword
- linkedin
- president
- barackobama
- obama1
- groningen
- counterstrike
- fcgroningen
- obama2012
- obama2011
- obama2008
- noordholland
-drenthe

De reden dat jouw wachtwoord er niet tussen staat is dat hij waarschijnlijk al gekraakt is. De wachtwoorden waarbij de eerste paar letters van de hash vervangen zijn met een 0 dienen waarschijnlijk als markering dat ze gekraakt zijn.
Het commando hierboven haalt de eerste paar karakters van de hash weg en vergelijkt ze met de tekst.

Ook lijkt het dat er geen wachtwoorden toegelaten zijn op linkedin tussen 1 en 5 karakters

[Reactie gewijzigd door shadylog op 6 juni 2012 20:36]

Alternative locatie:

Klik.
Doet het prima.
~4% kans dat je ertussen zit.
Ivm duplicates zou ik die kans eerder op 30% schatten...
Ik zou mijn wachtwoord daar juist NIET in zetten. Wie weet word er gewoon een rainbow table gegenereerd zo, met wachtwoorden.
Het werkt sneller om te bruteforcen.
Met een beetje geluk gebruikt linkedin een salt (en pepper) systeem en stelt het niet veel voor.
Anoniem: 77640
@Precision6 juni 2012 17:39
Met een beetje geluk gebruikt linkedin een salt (en pepper) systeem en stelt het niet veel voor.
Neen, LinkedIn gebruikte geen salt en ik vond de hash van mijn wachtwoord terug in de lijst. En dit is mogelijks slechts een deel van de lijst dus ookal komt jouw wachtwoord er niet in voor dan loop je risico.

Het is dus voor iedereen aangeraden je wachtwoord te veranderen naar iets tijdelijks, en eens men het lek gedicht heeft kan je een ander beter gekend wachtwoord gebruiken (maar niet je oude uiteraard)!
Is die site te vertrouwen? Als ze de password - hash combinatie opslaan en dan je hash terugvinden in de LinkedIn lijst dan kennen ze meteen je paswoord!

EDIT: .oisyn's site hieronder is veilig. De site hierboven niet want die submit de data naar een server (code gecontroleerd)!

[Reactie gewijzigd door Anoniem: 77640 op 6 juni 2012 17:28]

dan moeten ze wel eerst je gebruikersnaam weten voor ze wat aan het wachtwoord hebben
@tommieonos: Iets zegt me dat de hackers echt niet alleen de tabel met wachtwoorden hebben binnen gehaald ;) Lijkt me dat ze echt wel de gehele tabel inclusief username hebben. Echter hebben ze deze niet helemaal geüpload maar alleen de wachtwoorden.
Ik zou deze manier gebruiken: https://lastpass.com/linkedin/
Only the hash of your password will be sent to LastPass.com's servers, not your actual password.
Bovendien raden ze aan eerst je wachtwoord(en) te wijzigen en dan pas (het oude) wachtwoord te testen.
Nou dan zit ik er wel precies tussen. Gvd. Maar kunnen ze er ook echt wat mee want ze weten toch geen gebruikersnaam? Hoezo verouderd??? Mensen hebben wachtwoorden toch niet voor maar 1 jaar ofzo?

[Reactie gewijzigd door JBee op 6 juni 2012 17:20]

Nee ze kunnen er niet zo heel snel wat mee. Het maakt het wel makkelijker voor de rainbowtables in het geval als je username ook een keer lekt + een soortgelijke wachtwoordhash.

Wat wel zo is en dat vergeten veel mensen: Je kan je wachtwoord dan wel veranderen maar als het 'lek' dan nog in LinkedIn zit dan kan er nog wel een keer een paswoord dump worden gemaakt waardoor je ALSNOG een wachtwoord op straat hebt liggen, in dit geval dan wel je nieuwe wachtwoord.
Ja, maar als je nu zorgt dat dit wachtwoord uniek is voor LinkedIn, dan zit je in ieder geval een stuk beter erbij.
Waarom kan dat niet gewoon in het nieuwsbericht gezet worden?
Waarschijnlijk omdat tweakers het risico niet wil lopen dat ze worden aangeklaagd door 6,5 miljoen mensen, of zelfs 1, wiens slechtgecodeerde wachtwoorden daar gedeeld worden.
volgens mij door het hier dan wel te laten staan zouden ze net zo "strafbaar"zijn of aan te klagen.
Nee hoor, dan ben jij strafbaar, niet tweakers (gelukkig).
Belachelijk dat hackers en tweakers wel kunnen checken of hun wachtwoord uitgelekt is en de "gewone" linkedin gebruiker niet... Zo'n lijst zou direct voor IEDEREEN publiek moeten worden in het geval deze uitlekt (wat je natuurlijk kosten wat het kost vermijd), niet alleen voor de mensen met skills die ff willen checken of hun ww niet uitgelekt is...

IMO is het zelfs ontzettend onbeschoft van linkedin om mij niet te vertellen dat mijn wachtwoord wel of niet uitgelekt is. Ik krijg wel een email als iemand mij een bericht stuurt of mij toevoegd als contact, maar niet als mijn wachtwoord (misschien) uitgelekt is?!

[Reactie gewijzigd door GeoBeo op 6 juni 2012 23:26]

schoon beveiliging heeft dat forum.
Bij een bezoek aan die link krijg ik volgende foutmelding:
phpBB : Critical Error

Error creating new session

DEBUG MODE

SQL Error : 145 Table './insiocom_form/phpbb_sessions' is marked as crashed and should be repaired

INSERT INTO phpbb_sessions (session_id, session_user_id, session_start, session_time, session_ip, session_page, session_logged_in, session_admin) VALUES ('e18b0834e3289da7c52cd098d477b410', -1, 1339008293, 1339008293, '5ec6a50b', 22, 0, 0)

Line : 207
File : sessions.php
zouden ze sql-injection-proof zijn? anders staat ook hun data binnenkort op het net.

[Reactie gewijzigd door soulrider op 6 juni 2012 17:49]

typisch gevalletje corrupte sessions tabel van phpbb


Maar on topic:
Er schandalig dat bij zo'n zakelijke speler, die bovendien vrij agressief geld vraagt/pro accounts wil aansmeren, dit soort belangrijke gegevens naar buiten komen
De "Alternatieve locatie dankzij jw_moonshine" link levert een corrupt zip archive op.
Bij mij werkt die gewoon, ik kwam mijn sha1 niet tegen in de file, maar als ik zocht in google naar de hash kwam ik 1 site tegen waar hij in de database zat (http://xdecrypt.com/) dus toch maar gelijk m'n wachtwoord gewijzigd

edit: grappig dat ik offtopic wordt gemod en reacties op mij on topic :S..

[Reactie gewijzigd door fommes op 6 juni 2012 22:19]

Ik zou toch niet te vaak mijn passwoorden of zelfs gehashte passwoorden zomaar links en rechts gaan ingeven in allerhande malafiede websites als ik van jullie was.
Om te beginnen graaien deze personen naar hashes of gehackte databases om naderhand de hashes te gaan decrypten.
De kans is groot dat ze beschikken over farms om gelijk grote aantallen hashes te gaan decrypten in een keer.
Het zou me verder ook niet verbazen dat ze jouw opgegeven hashes niet bijhielden om naderhand te gaan decrypten.

Ik hoop dat jullie als tweaker over genoeg gezond verstand beschikken om te begrijpen waarom dat niet zo een goed idee is?
ik heb hem ook nergens op die site ingegeven alleen heb ik mijn hash in google gepaste en toen kwam deze site naar boven met mijn wachtwoord ernaast (wat overigens ook niemand anders als wachtwoord zal hebben)

Ik begrijp dat het niet verstandig is om daar mijn hashes in te gaan vullen :)
Vreemd, mijn linkedin paswoord is daar ook terug te vinden terwijl het niet echt alledaags is.
Mijn paswoord staat ook in de combo_not.txt lijst :-/
Gelukkig is het een lang paswoord. Alhoewel dat met een simpel hash algoritme als SHA1 en stevige GPU's maar weinig helpt.

Volgens deze link kan je met een ATI Radeon HD6990 2656M SHA1 hashes per seconde proberen. Voor een paswoord met 7 alphanumerische tekens (a-Z0-9) is je paswoord binnen de 22 minuten gekraakt!

Ik ben benieuwd of deze high profile breach tot gevolg zal hebben dat two-factor (of one time passwords) in populariteit zullen stijgen. Ik zelf overweeg nu sterk om 1Password of dergelijke te gebruiken.
Handig ook die site, want rechts bovenin worden de laatst uitgevoerde queries getoond ;)
1 woord: duplicates...
Ik heb een heel lelijk vermoeden. Stel ik wil LinkedIn beschadigen en er geld aan verdienen. Ik zou het volgende kunnen doen:
- Genereer een lijst van 6,5 miljoen wachtwoorden of oogst ze op een andere plek
- Koop put-opties LinkedIn
- Verspreid je bestand en het gerucht
- De kans dat bij een lijst van 6,5 miljoen wachtwoorden er hits zijn in een groep van 161 mijoen mensen is heel groot. Je kan er ook op vertrouwen dat daar mensen bij zijn die dat zelf melden via twitter of andere social media. Zo wordt het gerucht gevalideerd.
- Wacht tot de koers daalt en verkoop je put-opties: kassa!

Als je in de terugvertaalde lijst kijkt zie je stukjes die sterk op een via dictionary genereerde lijst lijken, bijvoorbeeld:
8c1afb4faaa97d7ab9b9b949e669c5b3c5ce2b32:tiffy1bear
43e61439db599c30ef989e9c3516f789c5ec1003:alessibear
16f057c047e80bb088911c85fede68afc62de7b6:chaskebear
2a23339cef332a4ce8d0874b35754d89ce2b980f:getyoubitch1
055b9be5c07d0991621b72dc3534884cde5e9954:fieldybear
f6ddfe8d65bb90a1284efb0a8ec686c9e6a9a8a7:sunbedstudio
6b45f432bea590bb4ca9a208f00086b6ebea14ac:sushi8bear
ce9cad75bf1b0356f46b08f856958812ec6adbd1:panda8bear
6bc8279ba3e367208bcc3e1ba9ec97c0efea9660:keirrabear
En het eind van de vertaalde lijst lijkt dan weer op een lijst uit een brute force attack:
dd261f7e1d407f84bb8c5498d58eaea544e38171:lpzgsy99
a9057203f913179f98a56562ac868ee47d3b2d1f:Epzklm99
9bfb4882a9099a062c61bd0c1b3797becb5c85ea:xqzzme89
2670702a5364579f50f72624bf6c787daa275872:pqzmjf99
dc5575e28c1fed0bf1475473bdad4735b176e720:orzaiz99
1e55b7c624d5357bb26bb6ec20a0ce7dfcaacdf9:ztzuhf99
4a80f71f82a7b1ceddbfb45614010a2175ad8b54:yuzpot89
98a16c42bdb8452002ce539e0482343c61805716:tvzypc89
d06bb59540e006cd1539b23662908a2cb04e4436:swzlaw99
6af469c4817ce60be55f47e5c78d3cd504be7990:fyzfak89
c9fe5800bc73eeb6134ba8d039e7291440c05aa3:zxzxlp99
377c4fcc9201ed3ac5684a9a6a75210905016779:izzemm89
9134e76acd9104ca393b6c22e789d71b348f7e7d:uzzury19
Nu komt de groepering van die gelijksoortige wachtwoorden natuurlijk omdat het terugvertalen van de hashes via die methode is gedaan. In het originele bestand komen niet dezelfde groepjes voor (dat zou pas echt HEEL verdacht zijn). Maar het maken van zo'n lijst en het genereren van SHA1 hashes kost veel minder CPU dan het ontsleutelen, en zou echt goed te doen zijn - vast veel gemakkelijker dan echt inbreken.

Merk op dat de gepubliceerde data alleen wachtwoorden bevat en dat het idee dat ook user names buitgemaakt zijn niet bewezen is. De truuk die ik beschrijf is te doen met alleen wachtwoorden, maar niet met paren user name-password, want dan is de kans dat je toevallig een hit scoort bij een LinkedIn-klant vele malen kleiner.

[Reactie gewijzigd door berend_engelbrecht op 6 juni 2012 18:32]

Ondanks dat dit verhaal redelijk plausibel zou kunnen zijn kan ik redelijk garanderen dat dit in dit geval, ondanks de missende gebruikersnamen, deze sha1 hashes authentiek zijn.
Ik pas bijvoorbeeld mij wachtwoorden per site aan. De precieze details ga ik natuurlijk niet vermelden maar als voorbeeld:
Het 1e, 2e en 4e karakter van het url (ja, zonder de www)+een password dat bestaat uit 12 willekeurig gegenereerde karakters.
In werkelijkheid nog iets complexer, maar het idee lijkt me duidelijk, ik heb een uniek wachtwoord in deze. In sha1 zou dit telkens een volledig andere hash opleveren. Echter, vind ik mijn sha1 hash ook terug in de grote lijst (niet in de gekraakte lijst).

Ik denk dat je het verhaal verkeerd om bekijkt, het gedeelte gekraakte passwords is het "makkelijke" gedeelte en daardoor vermoed je dat de rest van de hashes ook op zo'n manier is gegenereerd. Natuurlijk zijn er al dictionary attacks en rainbow tables beschikbaar, die pakken inderdaad de simpele en korte wachtwoorden er zo uit. Dat wil echter niet zeggen dat alle wachtwoorden simpel of kort zijn.
Je hebt natuurlijk gelijk en het was ook maar een vermoeden: zoiets zou kunnen gebeuren (en is kortgeleden gebeurd met KPN). Ik had geen bewijs en het blijkt nu ook niet waar te zijn. Ik wilde er alleen op wijzen dat je met de dingen die vanmiddag bekend waren ook een hele andere kant op kon.

Overigens zou ik als ik die hacker was nog steeds put-opties linkedin gekocht hebben en de hack bekend maken vlak voor de datum dat ik ze kan verzilveren.
Alleen dan is het de vraag WIE wil linkedin "beschadigen"?

De hacker? (op het forum meld hij niks over linkedin) of het Noorse DagensIT?

Verder een interessante theorie inderdaad!

edit: met de koers lijkt het vooralsnog mee te vallen.

[Reactie gewijzigd door Mattie112 op 6 juni 2012 19:58]

Alleen dan is het de vraag WIE wil linkedin "beschadigen"?
De persoon die het gerucht verspreid heeft (Per Thorsheim, "password expert en consultant" in Evry, of diegene waar hij het weer vandaan heeft). Als ik de bron was zou ik zorgen dat ik niet rechtstreeks in de media kom. Als mijn theorie (meer een hypothese, ik heb geen enkel bewijs) juist is zou de bron gepakt kunnen worden voor beursfraude.

Dus:
  • Verspreid het gerucht via iemand die iemand kent die een journalist/beveiligingsexpert kent.
    Dit soort vage contacten kan je bijvoorbeeld heel gemakkelijk leggen via LinkedIn }>
  • Verspreid de data via een geheel andere route. Word lid van een Oost-Europees forum (de echte crackers zitten in voormailge sovjet-landen, right? ;)) en stuur een PM naar iemand die al wat langer lid is met een spannend verhaal over je data. 6,5 miljoen passwords lijken me sowieso een vette worst voor zo iemand, ongeacht de bron.
Gebruik maken van geronselde derde personen die zelf niet echt van de hoed en de rand weten is heel gebruikelijk bij smokkel en witwassen. Zo iemand noem je een mule. Dit zorgt dat de oorspronkelijke daders buiten schot blijven.

Iemand met connecties in Noorwegen en Rusland zou je bijvoorbeeld in Finland kunnen zoeken (ik noem maar een dwarsstraat, in het Internettijdperk zijn dit soort dingen niet meer echt plaatsgebonden).

[Reactie gewijzigd door berend_engelbrecht op 6 juni 2012 20:21]

goed opgemerkt

Als linkedin echter salt zou gebruiken konden ze het meteen ontkennen dus ook als dit niet waar is zou het kwalijk zijn dat linkedin geen salt gebruikt. dat leert !@$##~!#%$# ieder beginnende developer toch.
Interessante theorie. Niet op de minste plaats omdat een soortgelijke truc al is uitgehaald met de "gelekte" KPN mail wachtwoorden, die uiteindelijk afkomstig bleken te zijn uit een (gefilterde) lijst wachtwoorden van een eerdere hack van babydump.nl.

Aan de andere kant, het feit dat bijvoorbeeld @cryptoron (werkzaam bij Fox-IT) bevestigt dat zijn wachtwoord ook in de lijst voorkomt maakt het voor mij iets minder aannemelijk dat het een random lijst aan wachtwoorden is. Waarbij ik natuurlijk wel de aanname (dodelijk!) maak dat hij een sterk wachtwoord heeft gebruikt, én dat dit niet ook al bij een eerdere hack is buitgemaakt, waarbij dit bijvoorbeeld onversleuteld is opgeslagen.

Desalniettemin, het is inderdaad een effectieve methode om een bedrijf eenvoudig in een kwaad daglicht te zetten. Het is kinderspel om uit alle gelekte databases die er rondzwerven een mooie mashup te maken waarvan je er ook nog eens van uit kan gaan dat 90% van de wachtwoorden nog door iemand in gebruik zullen zijn. Interesting :)
Haal je die info nou uit de hacked+decrypted password-lijst? Die zal er inderdaad brute-forced uitzien... omdat dat precies de manier is waarop ze die lijst gemaakt hebben! Ze hebben de decrypted passwords niet, dus hebben ze een brute-force-methode over de lijst met miljoenen sha1-hashes gehaald, en die heeft een aantal (dus niet allemaal) wachtwoorden kunnen achterhalen. Dus ja, die ge-de-hashede lijst ziet er bruteforced uit omdat dat nou juist het stukje van de wachtwoorden is die makkelijk ge-bruteforced kon worden.

[Reactie gewijzigd door Sprite_tm op 7 juni 2012 00:15]

Anoniem: 143912
@TvdW6 juni 2012 15:30
waarom zou je password dan veranderen? wat moeten mensen dan met je linked account. ik kan me bij credit cards nog wel voorstellen maar linkedin of een vage forum account?
Je moet vooral denken aan de mensen die (praktisch) overal dezelfde wachtwoorden gebruiken, dat zijn er echt meer dan je denkt...

Ik heb een aantal verschillende wachtwoorden voor verschillende zaken, om de belangrijke zaken gescheiden te houden van onbelangrijkere zaken zoals Linkedin.
Anoniem: 77640
@DeMolT.6 juni 2012 17:52
Wat jij als onbelangrijk ziet kan voor een hacker wel een schat van informatie opleveren om jou te schaden, af te persen, te bedreigen, identiteit te stelen, etc. Het risico is klein, maar niet onbestaande. Better safe than sorry.

Dat gezegd zijnde gebruik ikzelf ook maar een beperkt aantal wachtwoorden. Veel te lastig om voor elk doeleind een andere te hebben zonder het ergens op te schrijven (wat nog veel gevaarlijker is).

Wat mij vooral stoort is diensten die beperkingen opleggen aan wachtwoorden, zoals niet meer dan 8 karakters en/of geen speciale tekens. Dat dwingt om onveiliger wachtwoorden te gebruiken waar je een veiliger wil, en om varianten te maken waar je geen nieuw nodig acht...
Anoniem: 408389
@DeMolT.6 juni 2012 18:09
Ja let ook even op dat het emailadres dat bij je LinkedIn account hoort. Dat je daar bv ook niet hetzelfde wachtwoord voor gebruikt. En als ze ook de account namen hebben (je echte naam) Dat ze met dat wachtwoord dus ook niet in andere accounts met je echte naam (facebook, google) kunnen komen. Want het is makkelijk genoeg om je ff te googlen en bij accounts met die naam je wachtwoord ff te proberen.
Linkedin gebruik je vaak professioneel dus vooral imago schade voor jezelf en je huidige/toekomstige werkgever. Stel iemand voegt het bezoeken van homobars toe aan je hobby's.....
Als dat imagoschade geeft weet ik niet of ik bij zo'n bedrijf zou willen werken...
Anoniem: 77640
@Rwesterh6 juni 2012 17:45
In Nederland valt dat nog wel mee, maar in de meeste staten van de VS kom je daarmee niet meer aan de bak.

En er zijn natuurlijk ook andere dingen die men kan toevoegen om je imago te schaden...
nee precies, dan hoeft zo'n bedrijf voor mij ook niet meer.
Wat heeft dat met je werkgever te maken? Je mag in je vrije tijd toch doen wat je wil volgens mij. Ik vond carnaval bij de Gaykrant wel grappig. Vooroordelen heb je.
Omdat er veel mensen wel actief gebruik maken van LinkedIn, voor zakelijke doeleinden. Ook zijn betalingen gekoppeld aan LinkedIn, bijvoorbeeld om advertenties/vacatures te kunnen plaatsen
ook leuk voor mensen die hetzelfde wachtwoord op meerdere sites gebruiken.
Voor de Linux loekies, BSD nerds en de Apple fans

Download zipje met passwords

unzippen... en dan:

cat combo_not.txt | grep -i `echo "MIJNPASSWORD" | sha1sum`

cat Downloads/combo_not.txt | grep -i `echo -n "Andres#1" | sha1sum`

[Reactie gewijzigd door DeuTeRiuM op 6 juni 2012 15:20]

Dat gaat nie nie werken nie, sha1sum geeft nog een spatie en een "-" aan het einde van de hash. Wel werkt:

echo -n "MY_PASSWORD" | sha1sum | sed 's/[^a-z0-9]//g' | grep `cat /dev/stdin` combo_not.txt

[Reactie gewijzigd door bert_m op 6 juni 2012 15:33]

Genereren kan ook zo: echo -n mypassword | openssl dgst -sha1
Werkt prima anders! Andres#1 is het eerste wachtwoord in het bestandje. Vindt-ie gewoon.
Oops, zet DeuTeRiuM nou zijn eigen wachtwoord in de reactie hierboven?
nee, natuurlijk niet :)
Als je goed gelezen zou hebben zou je gezien hebben 6,5 miljoen, van de totale 161 miljoen gebruikers dus is de kans groot zat dat je wachtwoord er niet bij zit...

Best een kwalijke zaak dit, gezien LinkedIn een zakelijke social media program is...
Dat is dan best wel een logische hack prio.
Een kans van 1 op 24 is niet groot? Vind ik wel, zeker in het geval van een hack.
Juist niet aanpassen lijkt mij. Linkedin heeft het probleem nog niet gevonden dus wie weet word je nieuwe password er straks juist uitgehaald. Ik zou wachten tot Linkedin het probleem heeft opgelost en dan pas mijn wachtwoord aanpassen ;)

"Our team is currently looking into reports of stolen passwords. Stay tuned for more."
Anoniem: 104592
@TvdW6 juni 2012 17:43
Wachtwoord wijzigen heeft geen zin.
Op dit moment heeft linkedin het probleem nog niet gefikst.
Heb ook maar gelijk mijn wachtwoord gewijzigd, better safe than sorry.
Schitterend eigenlijk, iemand gooit een lijst met hashes online, mompelt iets over LinkedIn, en iedereen schreeuwt moord en brand over dat LinkedIn gehackt is, terwijl LinkedIn zelf nog niets heeft gezegd. Nog steeds niks geleerd van die KPN "hack".

Wie gooit er een willekeurige rainbow table online als hotmail.txt? :)
Nou best simpel....

Iemand heeft een uniek wachtwoord op linkedin zoals:

Mijnn@@misK33senIkHouvanTweaker2222net

deze zetten we om... en als hij in de "database" staat.... lijkt mij de kans klein dat er iemand was met hetzelfde wachtwoord..... :'(
Dat kan inderdaad, maar zoiets ben ik tot nu toe nog in geen enkele berichtgeving concreet tegengekomen.
Ik lees alleen maar "mijn wachtwoord staat erin!", tja, als je wachtwoord "abc123" is, ookal gebruik je het alleen voor LinkedIn, zegt dat nog steeds niets.
Ik heb anders een behoorlijk uniek wachtwoord met random letters/cijfers/hoofdletters, etc... En deze zat er ook tussen. Zelfs de volledige SHA-1 hash, dus zonder die 00000 er voor.
De kans dat iemand anders met datzelfde wachtwoord op LinkedIn zit is nihil....
Zie mijn reactie hierboven ergens over de spam die ik sinds enkele dagen ontvang op een adres wat enkel voor Linkedin bekend is.

Meerdere gebruikers hebben hier last van sinds enkele dagen/weken (zie reacties), het gaat om dezelfde spam mails en bij hen ook om unieke adressen.
Mijn wachtwoord welke voor Linkedin "hq8dh129-j" was, stond er ook in. Dit is puur een random wachtwoord welke ik alleen voor LinkedIn gebruikte.

Ik heb hem uiteraard weer gewijzigd in een nieuw random password.
Anoniem: 434945
@Froyo6 juni 2012 14:57
Hoeveel % van de mensen veranderd hun wachtwoord?
Er staat inmiddels een update op het blog van Linkedin:

http://blog.linkedin.com/...er-passwords-compromised/
"Members that have accounts associated with the compromised passwords will notice that their LinkedIn account password is no longer valid."

Dat vind ik wel een hele goede actie van LinkedIn dat zij zelf alvast die passwords die gelekt zijn ongeldig gemaakt hebben.
Als je niet op de server kan komen: kopieer de link, plak deze in google zoeken, selecteer "In Cache" en klaar.
Anoniem: 378455
6 juni 2012 14:58
Als de download te traag is, ik heb hem even voor jullie geupload.
http://www.electroboys.be/download/index.php?file=combo.zip

[EDIT]: link verwijderd, want anders raakt men bandbreedte nog op (ik zit nu al over de helft van deze maand)

[Reactie gewijzigd door Anoniem: 378455 op 7 juni 2012 19:59]

Bedankt! Al die andere links doen het niet meer
1 2 3 ... 12

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee