6,5 miljoen LinkedIn-wachtwoorden op straat

Er zwerft een bestand van 118 MB rond met de gehashte wachtwoorden van miljoenen LinkedIn-accounts. Security-experts waarschuwen iedereen met klem zijn of haar wachtwoord te wijzigen.

Een bestand met bijna 6,5 miljoen hashcodes is twee dagen geleden online gedumpt. Het gaat om wachtwoorden van LinkedIn-gebruikers. Webwereld heeft het zip-bestand kunnen achterhalen.
De wachtwoorden zijn versleuteld met het SHA1-algoritme, en de hashes zijn unsalted, dus relatief eenvoudig te kraken is, onder meer met online tools.

Usernames (nog) niet gelekt

De wachtwoorden zijn niet gekoppeld aan username, maar aangezien die in dezelfde database staan moet er vanuit worden gegaan dat ook die door hackers zijn bemachtigd, vertelt Ronald Prins, directeur van securitybedrijf Fox-IT, aan Webwereld. Ook de hashcode van het wachtwoord van Prins staat in het gelekte bestand, bevestigt hij.
Ook anderen melden op Twitter dat hun versleutelde wachtwoord is gelekt. De gelekte database zou al wel 7 a 8 maanden oud zijn. Maar aangezien de meeste gebruikers hun wachtwoord niet regelmatig (of helemaal nooit) wijzigen, is het lek zeer serieus.

Dringend advies: wijzig wachtwoord

De Noorse IT-site Dagens IT maakte eerder vandaag als eerste melding van het lek, dat is onderzocht door de security-expert Per Thorsheim.
Thorsheim en ook Prins van Fox-IT raden LinkedIn-gebruikers aan om hun wachtwoord te wijzigen. Prins voegt daar aan toe: "Als je dat wachtwoord ook voor andere sites gebruikt, moet je het dus ook op die andere sites wijzigen."
Update: LinkedIn zegt in een verklaring de zaak te onderzoeken.

Bron:  Webwereld