Δεδομένα από μια παλαιότερη data breach του LinkedIn έχουν εμφανιστεί online και ένας χάκερ γνωστός ως Peace_of_mind (Peace) τα πουλάει για 5 Bitcoin (≈ $ 2.200) στην αγορά του Dark Web, TheRealDeal.
Το LinkedIn υπέστη μια μαζική παραβίαση δεδομένων το 2012, όταν hackers παραβίασαν τους servers του και έκλεψαν κάποια από τα αρχεία των χρηστών του. Αργότερα, οι hackers δημοσίευσαν 6,5 εκατομμύρια από τα κλεμμένα αρχεία online, πλήρη με κωδικούς πρόσβασης χρηστών σε κατακερματισμένη μορφή.
Ο Peace ισχυρίζεται ότι αυτά τα δεδομένα είναι μέρος της παραβίασης του 2012. Ο ίδιος ισχυρίζεται ότι έχει στοιχεία σχετικά με 167.370.940 λογαριασμούς, αλλά είπε ότι μόνο οι 117 εκατομμύρια περίπου περιλαμβάνουν hashed κωδικούς πρόσβασης. Η τελευταία φορά που το LinkedIn αποκάλυψε τον συνολικό αριθμό των χρηστών του είπε ότι είχε 433 εκατομμύρια χρήστες να έχουν εγγραφεί.
Δύο ιστοσελίδες που ειδικεύονται στη συλλογή δεδομένων από online παραβιάσεις, οι LeakedSource και Have I Been Pwned? ανέλυσαν τα δεδομένα.
Ο Troy Hunt, ο δημιουργός του Have I Been Pwned? είπε στο Twitter: «Επιβεβαιώνω την υποτιθέμενη παραβίαση δεδομένων των 167Μ αρχείο του LinkedIn. Είναι *πολύ* πιθανόν αυτό να ισχύει.»
Αργότερα αποκάλυψε ότι τα δεδομένα είναι πράγματι από την παράβαση του 2012 και προειδοποίησε ότι οι κωδικοί πρόσβασης ήταν κρυπτογραφημένοι με SHA1 χωρίς salting. Αυτό σημαίνει ότι οι αδύναμοι κωδικοί πρόσβασης μπορεί να σπάσουν εύκολα.
Ο SHA1 είναι ένας ισχυρός αλγόριθμος κρυπτογράφησης, αλλά οι εξελίξεις στην σύγχρονη υπολογιστική ισχύ επιτρέπουν στους επιτιθέμενους να σπάσουν SHA1 strings κωδικών. Οι απατεώνες δεν μπορούν να σπάσουν αυτά τα strings αυτοστιγμεί, αλλά με το χρόνο, όλα τα hashes των κωδικών πρόσβασης θα σπάσουν. Όσο απλούστερος ο κωδικός πρόσβασης, τόσο γρηγορότερο είναι να σπάσει.
Η LeakedSource λέει ότι έχουν πρόσβαση σε όλους τους 167 εκατομμύρια λογαριασμούς, τους οποίους πρόσθεσαν στην υπηρεσία τους, έτσι ώστε οι χρήστες να μπορούν με ασφάλεια να αναζητήσουν και να δουν αν περιλαμβάνονται στην παραβίαση.
Πίσω στο 2012, παρά τις 6,5 εκατομμύρια λεπτομέρειες χρηστών που διέρρευσαν στο διαδίκτυο, το LinkedIn ποτέ δεν επιβεβαίωσε πώς επηρεάστηκαν πολλοί χρήστες, τηρώντας σιγήν ιχθύος και οι άνθρωποι ξέχασαν ότι συνέβη.
Αν το LinkedIn είχε μοιραστεί τον πραγματικό αντίκτυπο της παραβίασης των δεδομένων, οι χρήστες θα είχαν λάβει τα αναγκαία μέτρα για να εξασφαλίσουν τους λογαριασμούς τους και να αποφύγουν την επαναχρησιμοποίηση του κωδικού πρόσβασής τους στο LinkedIn και για άλλους λογαριασμούς.
