Сегодня ночью директор социальной сети LinkedIn Висенте Сильвейра (Vicente Silveira) признал, что опубликованные на одном из российских хакерских форумов парольные хеши SHA-1 (без соли) действительно соответствуют паролям пользователей LinkedIn. Он пообещал, что для всех скомпрометированных аккаунтов пароли сменят автоматически, а каждый пострадавший пользователь получит уведомление по электронной почте с инструкциями по установке нового пароля. Затем каждый пострадавший получит ещё одно письмо от службы поддержки с объяснением ситуации.
База с 6 458 020 парольных хешей LinkedIn и 1,5 млн MD5-хешей сайта eHarmony была опубликована вчера вечером на российском форуме forum.insidepro.com (http://forum.insidepro.com/viewtopic.php?p=96122). Хакер Polimo сообщил, что уже подобрал 236 578 паролей из этой базы и продолжает работу. В опубликованной базе не содержится имён пользователей, но у Polimo они наверняка есть.
Сделать хеш SHA1 своего пароля можно, например, командой
php -r 'echo sha1("password"). "\n";'
То же самое можно сделать на локальном компьютере с помощью JavaScript (скрипт лежит на сайте http://leakedin.org/).
После этого можете проверить наличие соответствующего хеша в базе. Если он там присутствует, то этот пароль необходимо обязательно поменять на LinkedIn и всех остальных сайтах, где он использовался.
Разумеется, большинство пользователей LinkedIn не будут менять пароль на всех остальных сайтах. В то же время известно, что от 10% до 50% паролей не являются уникальными и используются многократно в различных сервисах. Поэтому утечка базы LinkedIn открывает перед злоумышленниками богатые возможности по дальнейшему взлому почтовых ящиков, аккаунтов в социальных сетях, платёжных системах и т.д.
LinkedIn — одна из крупнейших социальных сетей в интернете, которая объединяет специалистов по их профессиональным связям. На сайте зарегистрировано более 160 млн человек, год назад открылась русскоязычная версия LinkedIn.
Что касается 1,5 млн MD5-хешей сайта eHarmony, то все пароли там хранились прописными буквами, так что к настоящему моменту 95% из них уже расшифровано.
