15:15
6/6/2012

Jeśli macie założony profil na LinkedIn, zmieńcie hasło. Na rosyjskim forum opublikowano ponad 6.5 miliona hashy haseł najprawdopodobniej należących do użytkowników LinkedIn. Pierwsi chakierzy już je łamią…

LinkedIn.com: 6.5 miliona hashy do złamania

2 dni temu, na rosyjskim forum opublikowano 6.5 miliona hashy haseł (SHA-1) prosząc o pomoc w ich łamaniu. Po złamaniu 300 000 hashy okazało się, że nadzwyczaj często pojawia się w nich fraza “linkedin” co może sugerować iż pochodzą one z serwisu LinkedIn.com — serwisu będącego internetowym zbiorem CV dla ponad 150 milionów internautów.

LinedIn passwords database (hashes)

LinedIn passwords: hash database

Na szczęście, na forum nie opublikowano powiązanych z hashami loginów, a więc “przypadkowym” internautom będzie stosunkowo ciężko powiązać złamane hasło z loginem danego użytkownika. To jednak nie zmienia to faktu, że włamywacze doskonale wiedzą do kogo należy hash hasła i zapewne zrobią z tej wiedzy użytek.

Przy okazji, warto wspomnieć o tym, że aplikacja LinkedIn na iPhone’a zachowuje się bardzo nieładnie — podkrada sporo prywatnych informacji.

Zmień hasło na LinkedIn

Oczywiście to czego powinni się najbardziej obawiać użytkownicy LinkedIn to nie włamanie na ich konto, a włamania na inne serwisy, w których użyli tego samego hasła. Dlatego jeśli masz konto na LinkedIn, jak najszybciej zmień hasło i upewnij się, że nie korzystałeś z niego w innych serwisach.

Goldenline też zaliczył dziś wpadkę

Także polski odpowiednik LinkedIna, serwis GoldenLine.pl, zaliczył dziś niezłą wtopę. Wchodząc na stronę GoldenLine.pl, po każdym kliknięciu byliśmy zalogowani jako inna osoba.

GoldenLine Fail GoldenLine Fail

GoldenLine Fail, fot. Radek P.

Krzyżowanie się sesji umożliwiało podgląd kont i wiadomości innych użytkowników, a jak niektórzy twierdzą, przy niewielkich modyfikacjach parametrów można było również zmieniać dane na profilach innych użytkowników. Na koniec GoldenLine wysłał części użytkowników e-maila z pustą treścią…

via mietek

Aktualizacja 7.6.2012
LinkedIn przyznaje, hasła należą do nich. Dodatkowo informuje, że zaczynają “solić” hashe…

Aktualizacja 8.6.2012
GoldenLine.pl tłumaczy iż “problem nie polegał na krzyżowaniu sesji, a na błędnym cachowaniu, czyli zapisywaniu w pamięci podręcznej, zawartości strony głównej GoldenLine. Ten błąd dotyczył wyłącznie strony głównej (dostępnej pod adresem www.goldenline.pl po zalogowaniu). Nie było możliwości dostępu ani do wiadomości ani danych prywatnych innych użytkowników“.

Przeczytaj także:


44 komentarzy

Dodaj komentarz
  1. Oba linki prowadzą do tego samego screena, mimo że mają inne miniatury.

    • Dla hackerów to nie powinien być problem ;)

    • @up: Każdy hacker musi umieć rozwiązać takie trudne zagadki, masz racje :)

      P.S. Zostałem hackerem!

    • Tak właśnie zmienia się bug w ficzer :D

  2. Jakiś miesiąc temu widziałem krążący link do sqli w LinkedIn… Nie sprawdzałem go i nie pamiętam gdzie go widziałem, ale możliwe, że tak je wykradziono…

  3. Przeglądacie Kwejka? :oo

    • My nie, autor zdjęcia najwyaraźniej tak.

  4. Hehe, pomijając wtopę goldenline.pl to autor wpisu tym printscreenem zdradził trochę informacji o sobie ;) m.in. fakt, że szuka w sieci Melanotanu i że zarządza stroną Zdrojowa Invest (favicon Joomli na pasku, którego nie ma na ich stronie).
    ciekawe czy komentarz przejdzie przez moderację ;)

    • Prawdopodobnie mieszka w trojmiescie (SKM)

    • Gdynia ul. ***
      Oj… oj…

    • Prawdopodobnie umiescil to specjalnie zeby zrobic sobie reklame

    • więcej info niż na FB :) Widać co lubi wysportowany Radek oraz, że jest studentem szukającym pracy z włączoną funkcją “dopasuj dla uzyskania najlepszej wydajności” (laptop), niezbyt przejmujący się Centrum Akcji ;) Widać chłopak lubi ryzyko vide Melanotan II.

  5. Co raz więcej tych wpadek :)

  6. Może wreszcie kiedyś doczekam się dnia, w którym ludzie przestana się wymieniać majtkami (z wyjątkiem związków i tylko w sytuacjach ekstremalnych w łóżko).

    Takich wpadek z krzyżowaną sesją była masa tylko kogo to obchodzi?

    • Zapewne tych, na których ktoś w wyniku takiego krzyżowania wszedł i zmienił dane. I nagle okazało się, że pracowali nie tylko WTejWażnejInstytucji ale również sprzedawali swoje ciało na paryskich ulicach, a na kilku forach wiszą durnowate wypowiedzi napisane z ich konta, ale nie przez nich samych. No trochę wyobraźni! ;)

  7. Mój ulubiony typ niusów :) trzeba dopisać botowi gmerającemu po pastebinach, żeby zaglądał też do reddita ^_^

  8. a może to podpucha by ludzie na jakis dziwnych stronkach generowali hashe z swoich hasel? co niektore stronki umozliwiaja generowania hasha po podaniu majla :| ja nie znalazłem tam swojego hasła, ani nawet najbardziej jakiś znanych. Albo dorwalem sie nie do tego pliku z haslami co trzeba ;)

  9. Odnośnie krzyżówek to na mojej polibudzie jakieś pół roku temu była fajna krzyżówka i o tyle śmieszna, że profile krzyżowały się nie przy każdym kliknięciu ale co pare minut, więc można było komuś przez ten czas nieźle namieszać – błąd wystąpił w systemie estudent (dla ciekawych) – na szczęście po mojej informacji dość szybko go załatali.

  10. Fakt, robiąc zrzuty ekranów trzeba uważać, bo czasem zbyt wiele mogą o nas powiedzieć :-) A z innej beczki: wyłączam komunikator albo jestem dostępny. Dla mnie niewidoczny/ukryty to najgorszy ficzer komunikatorów jaki mógł powstać.

    • To jest dobre jak chcesz z kimś pogadać mając spokój od reszty.

    • Generalnie zgadzam się z Tobą, ale przydaje się gdy masz pilną sprawę do obgadania z jedną osobą i nie chcesz, by status “online” zwabił innych. Status DND (istniejący w sensownych komunikatorach) rzadko bywa (niestety) respektowany.

  11. Heh, to że goldenline zaliczyło dzisiaj wtopę to jedno – dali ostro ciała, ale autor na fali popularności chyba za bardzo popłynął :) Ja klikając w skrzynkę miałem tylko swoją skrzynkę – jedynie strona główna mi się podmieniała, a zalogowany nadal byłem jako ja sam… Nie ładnie tak demonizować i puszczać wodzy wyobraźni :)

  12. http://blog.linkedin.com/2012/06/06/linkedin-member-passwords-compromised/
    LinkedIn potwierdził.

  13. Analizując autora screenshotów:
    # Ma zainstalowane 4 przeglądarki, a w zakładkach folder “tempy”, pewnie tworzy strony internetowe.
    # W zakładkach ma foldery “zakupy”, “fit” (fitness?), “music”, słucha radiojazz, a do tego namiętnie facebook, twitter i grono. Czyżby kryptogej? ;)

  14. Czy Wasze hasło wyciekło?.. możecie sprawdzić tutaj :)
    https://lastpass.com/linkedin/

  15. Jakie to forum?

  16. Dlaczego nie podajecie żadnych źródeł, adresu forum, na którym opublikowano te hasła?
    Chętnie bym sprawdził czy moje hasło również znajduje się w tym zbiorze.

    • Bo jest na to paragraf.

    • To może spytam inaczej? zna ktoś adres jakiegoś fajnego Rosyjskiego forum komputerowego?

    • Poszukaj na torrentach ;)

    • sprawdź na https://lastpass.com/linkedin/ BTW, potwierdziło się to co przypuszczałem (6.5M to nie są wszystkie hasła) , LastPass ma więcej haseł niż krąży po internecie (163 267 złamanych na tym rosyjskim forum i drugi plik z 6 143 150 niezłamanymi hashami), więc szukanie linków do downloadu mija się z celem; mój hash dopiero znalazłem na LastPass, w plikach go nie było :/

    • @jtr
      Widać nie jestem sam w tym internecie – wpisałem jedno ze swoich ulubionych haseł dupa666 ;)

      The SHA-1 hash of your password is: 5ddabcfbd21da08dc42db07f2117669490ce3ab6
      Your password was one of the ones that was compromised.

  17. Hmm….tak sobie przeanalizowałem te hasła i wiedzę, że te udostępnione 6.5M to tylko czubek góry lodowej. Zostały tam tylko najtrudniejsze hasła. Wniosek taki, że haseł wyciekło na pewno więcej.

  18. A tutaj szczegółowe statystyki złamanych hashy:
    http://pastebin.com/5pjjgbMt

  19. “Your password was leaked, but it has not (yet) been cracked.” ;)

  20. As you may have seen, both Last.fm and LinkedIn have had a number of
    passwords compromised. As a precaution, ALL Libre.fm user passwords
    have been reset to a random, secure password.

    We know this is annoying, but a number of Libre.fm users will have
    used the same password on one or more of these sites, and so we
    request that you reset your password to continue using the site. And
    don’t worry, your music player will cache your listens, so nothing is
    lost!

  21. Dziś rano (a może już wczoraj) LinkedIn wymusza reset haseł do wszystkich kont. Dodatkowo opisują incydent na blogu http://blog.linkedin.com/2012/06/07/taking-steps-to-protect-our-members/pl. Po zmianie hasła trzeba się wylogować z aplikacji LinkedIn na smartfona i zalogować nowym hasłem. Przypominam, że od blisko dwóch miesięcy LinkedIn jest po polsku.

  22. Użytkownicy LinkedIn zalewani są wiadomościami z próbami phiszingu!

  23. Czy ktos zauwazl moze, ze po wycieku na skrzynke mailowa na gmailu zaczelo przychodzic znecznie wiecej spamu niz bylo wczesniej?

  24. […] dni temu informowaliśmy o potężnym wycieku haseł z serwisu LinkedIn. Dziś prezentujemy infografikę, która powstała na bazie złamanych haseł. Jakie słowo […]

  25. […] MD5 pojawiła się na znanym już forum InsidePro, na którym pojawiły się także bazy serwisów LinkedIn, LastFm i Formspring czy eHarmony. Za atakami najprawdopodobniej stoi użytkownik 8in4ry_Munch3r, a […]

  26. […] Tak można wywnioskować z raportu firmy za Q2. A po co im była analiza powłamaniowa? Ostatnio sporo haseł wyciekło z LinkedIna… […]

  27. […] dostęp do kont Battle.net. W przypadku przechowywania haseł jako hashy, doskonale wiemy, jak szybko da się je złamać — ale tu może być trudniej. Blizzard podaje, że do uwierzytelniania wykorzystuje […]

  28. […] razem nie zawiniła dziura w webaplikacji. Nie było żadnego exploita ani 0day’a, żadnych złych Chińczyków wykradających dane, ani przebiegłych agentów NSA podsłuchujących […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: