LinkedIn, milioni di password trafugate

LinkedIn, milioni di password trafugate

Il social network dei contatti professionali incappa in un nuovo scivolone: sei milioni e mezzo di password sarebbero state pubblicate su un forum di hacker russi. La compagnia conferma la compromissione, ma non ufficializza alcun numero

di pubblicata il , alle 10:37 nel canale Sicurezza
 

Nel corso della giornata di ieri è emerso un nuovo grattacapo per LinkedIn sul tema della sicurezza, con il sito norvegese Dagens IT che ha riportato che circa sei milioni e mezzo di password del social network sarebbero state pubblicate su un forum di hacker russi.

Le password sono cifrate, ma in un formato facilmente violabile: LinkedIn infatti effettua la cifratura delle password mediante "hashing", cioè utilizzando un algoritmo che trasforma un qualsiasi blocco di dati in una stringa a dimensione fissa. Cambiando i dati cambia, ovviamente, anche il valore di hash. Il problema con questo sistema è che due password identiche saranno cifrate alla stessa maniera. Gli esperti di sicurezza hanno più volte criticato LinkedIn per non adottare anche la pratica del "salting" cioè l'aggiunta di frammenti di dati randomici nel processo di cifratura.

La società ha prima preso tempo per indagare sul problema e ha poi informato i propri utenti dell'accaduto tramite un intervento sul proprio blog ufficiale. LinkedIn ha confermato la compromissione di alcune password (non ha però comunicato numeri ufficiali) e ha avvertito gli utenti toccati dal problema via email inviando la procedura per il reset della password. La società invierà una seconda email agli utenti per informarli sull'accaduto.

Nell'intervento sul blog si legge inoltre che la società ha recentemente adottato anche il salting delle password, per cercare di incrementare il livello di sicurezza dei dati degli utenti.

Sono giorni piuttosto intensi per il social network dei contatti professionali: nel corso della giornata di ieri è infatti circolata la notizia di un probelma dell'app per iOS e della sincronizzazione con il calendario con possibili implicazioni per la privacy dell'utente. Anche in questo caso LinkedIn ha preso una posizione ufficiale tramite il proprio blog, informando gli utenti che la funzionalità dell'applicazione sarà modificata per evitare che i dati sensibili legati ad una voce del calendario vengano sincronizzati con l'applicazione.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
tmx07 Giugno 2012, 12:34 #1
@outing08
cliccando vedo un prosciuttone in vendita - che c'entra? o nn capisco la battuta o è spam
tmx07 Giugno 2012, 12:35 #2
@outing08
nvm - ora è broken
biffuz07 Giugno 2012, 13:22 #3
Non sono esperto della crittazione, qualcuno sa spiegarmi come si può aggiungere un salt random per cifrare delle password? Poi per decifrarle ti servirebbe conoscere il salt, o no? La procedura mi sfugge
FeydRauthaHarkonnen07 Giugno 2012, 15:15 #4
Originariamente inviato da: biffuz
Non sono esperto della crittazione, qualcuno sa spiegarmi come si può aggiungere un salt random per cifrare delle password? Poi per decifrarle ti servirebbe conoscere il salt, o no? La procedura mi sfugge


dubbio legittimo. Nella mia esperienza conosco due tipi di salt:
1) si aggancia alla password una stringa costante, uguale per tutti. Soluzione rapida che protegge dagli attacchi di forza bruta basati su dizionari. Ma resta il problema che password uguali avranno hash uguali. Quindi se riesco ad arraffare milioni di hash e mi accorgo che ce ne sono centinaia uguali, molto probabilmente ho appena beccato tutti gli utenti che hanno password "password" o "123456" ( È la combinazione che un idiota userebbe per la sua valigia! (cit.) )
2) si genera un salt diverso per tutti ma non "random", bensì basato su dati che posso recuperare e rimangono immutati, ad esempio la data d'iscrizione
gd350turbo07 Giugno 2012, 15:24 #5
Eh...
Speriamo che serva di lezione a coloro che affidano la propria vita e la propria privacy nei vari social network presenti sul pianeta !
Liquid.Tension07 Giugno 2012, 15:35 #6
[...] cioè l'aggiunta di frammenti di dati randomici nel processo di cifratura.


"randomici"? casuali è così brutto?
manowar8407 Giugno 2012, 17:03 #7
Originariamente inviato da: gd350turbo
Eh...
Speriamo che serva di lezione a coloro che affidano la propria vita e la propria privacy nei vari social network presenti sul pianeta !


linkedin si usa per lavoro, ora nemmeno questo va bene?
mauro.c07 Giugno 2012, 22:11 #8
Adesso mi spiego perchè da un paio di giorni mi stanno arrivando improbabili offerte di lavoro all'estero
biffuz08 Giugno 2012, 13:08 #9
Originariamente inviato da: mauro.c
Adesso mi spiego perchè da un paio di giorni mi stanno arrivando improbabili offerte di lavoro all'estero

No, quello è il solito spam

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^