117 millioner LinkedIn-profilers data sat til salg: Danske kodeord iblandt

19. maj 2016 kl. 09:0113
Et LinkedIn-hack fra 2012 skaber igen problemer for brugerne. I går meddelte selskabet, at over 100 millioner LinkedIn medlemmers e-mails og passwords fra det fire år gamle hackerangreb er blevet frigivet og sat til salg. Danske kodeord er iblandt, lyder det fra DeLoitte
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

117 millioner LinkedIn-profilers data er netop blevet sat til salg på nettet. Prisen for de huggede data er omkring 15.000 danske kroner, og tyvegodset har ifølge LinkedIns egne oplysninger et par år på bagen. Det skriver flere nyhedsmedier, blandt andre The Guardian.

I 2012 brød hackere ind LinkedIns datanetværk og huggede 6,5 millioner krypterede adgangskoder, som siden dukkede op på et russisk hackerforum. Det er denne datagrube, som en hacker nu forsøger at afsætte i bitcoins på en af nettes mørkere markedspladser.

Datasættet rummer i alt 167 millioner konti, hvoraf 117 millioner er forsynet med både e-mails og krypterede adgangskoder.

Artiklen fortsætter efter annoncen

Nuværende LinkedIn-brugere bør derfor for en sikkerheds skyld ændre deres kodeord - især hvis man ikke har gjort det siden 2012. Over for TV 2 oplyste Deloitte her til morgen, at der er flere danskere blandt de lækkede profiler. Rådgivningsfirmaet anbefaler at tænke sig om.

»Ikke bare vælger vi banale koder, der er meget lette at gætte. Mere end halvdelen af os har også en favoritkode, som vi anvender igen og igen. Det gør os enormt sårbare over for angreb som det, der er sket på LinkedIn«, skriver Deloittes cybersikkerhedsekspert Kim Schlyter i en pressemeddelelse.

I forbindelse med angrebet i 2012, nulstillede LinkedIn data for de brugere, man troede var ramt. Angrebet har dog vist sig en del større end ventet, og en bredere indsats er under planlægning.

Emner
13 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
13
Jakob H. Heidelberg
20. maj 2016 kl. 16:29

Jeg retter lige, så andre måske kan læse hvad jeg skriver, sorry.

Et hashed password kan i denne sammenhæng ikke anvendes "i sig selv", modsat f.eks. på Windows platformen med Pass the Hash angreb (NT hash), men at "gætte" adgangskoden er praktisk muligt på forskellig vis (brute-force/wordlist mv), og hurtigt, fordi der 1) her er tale om SHA1 uden "salt" (kort sagt en værdi der gør hashingen unik) og 2) uden anvendelse af algoritmer som i Bcrypt/Scrypt, der gør det "dyrt" for angriberen af beregne hashværdier.

Et standard nVidia Titan X grafikkort kan beregne ca. 6 milliarder SHA1 hashes pr. sekund. Til sammenligning kan det kun beregne ca. 560.000 Scrypt hashes pr. sekund.

  • more_vert
    • insert_linkKopier link
12
Jakob H. Heidelberg
20. maj 2016 kl. 16:19

Et hashed password kan i denne sammenhæng ikke anvendes "i sig selv", modsat f.eks. på Windows platformen med Pass the Hash angreb (NT hash), men at "gætte" adgangskoden er praktisk muligt på forskellig vis brute-force/wordlist mv), og hurtigt, fordi der 1) her er tale om SHA1 uden "salt" (kort sagt en værdi der gør hashingen unik) og 2) uden anvendelse af algoritmer som i Bcrypt/Scrypt, der gør det "dyrt" for angriberen af beregne hashværdier.

Et standard nVidia Titan X grafikkort kan beregne ca. 6 milliarder SHA1 hashes pr. sekund. Til sammenligning kan det kun beregne ca. 560.00 Scrypt hashes pr. sekund.

  • more_vert
    • insert_linkKopier link
11
Simon Hyldig
19. maj 2016 kl. 23:52

Kan et hashed password overhovedet bruges til noget, altså er det ik derfor man gør det.... Hvor langtid vil det tage at bruteforce et password ud fra hash?

  • more_vert
    • insert_linkKopier link
10
Pilu Kasper Bech
19. maj 2016 kl. 16:06

Peter når man nu allerede har skiftet sit password. Kan det jo være interessant at se om det faktisk er med i data dumpen af ren interesse. Og det er jo allerede dømt som dårligt password fordi det har været i risiko for at være kompromitteret.

  • more_vert
    • insert_linkKopier link
9
Peter Nørregaard
19. maj 2016 kl. 15:02

Er det en fed ide at indtaste sit password i en tjeneste som man ikke kender for at tjekke om det er hacket?

Vi kan vel være sikre på at passwordet ER hacket efter vi har brugt det på den måde, trods de beroligende ord på lastpass som kun de i forvejen paranoide læser..

  • more_vert
    • insert_linkKopier link
5
Lars Nymand
19. maj 2016 kl. 12:46

At bygge sådan en side er vel også en måde at lokke adgangskoder ud af folk på :-)

  • more_vert
    • insert_linkKopier link
4
Povl H. Pedersen
19. maj 2016 kl. 12:27

Mit password fra den tid (genereret af 1password, langt, random) er ikke lækket. Er det et tilfælde ?

  • more_vert
    • insert_linkKopier link
2
Gert G. Larsen
19. maj 2016 kl. 10:07

Vi ændrede naturligvis kode tilbage i 2012, da indbruddet blev kendt. Men hvis man ikke har ændret siden da, er det da sikkert en fin idé at gøre det igen efterhånden. Alt efter hvilken religiøs passwordoverbevisning man tror på.

Hvordan har Deloitte påset, at der er danske accounts imellem? Er der en liste over alle accountsne et sted? Elller ligger dataen allerede "offentlig" tilgængelig? Nogen der har et dump?

  • more_vert
    • insert_linkKopier link