117 millioner LinkedIn-profilers data sat til salg: Danske kodeord iblandt

Et LinkedIn-hack fra 2012 skaber igen problemer for brugerne. I går meddelte selskabet, at over 100 millioner LinkedIn medlemmers e-mails og passwords fra det fire år gamle hackerangreb er blevet frigivet og sat til salg. Danske kodeord er iblandt, lyder det fra DeLoitte

117 millioner LinkedIn-profilers data er netop blevet sat til salg på nettet. Prisen for de huggede data er omkring 15.000 danske kroner, og tyvegodset har ifølge LinkedIns egne oplysninger et par år på bagen. Det skriver flere nyhedsmedier, blandt andre The Guardian.

I 2012 brød hackere ind LinkedIns datanetværk og huggede 6,5 millioner krypterede adgangskoder, som siden dukkede op på et russisk hackerforum. Det er denne datagrube, som en hacker nu forsøger at afsætte i bitcoins på en af nettes mørkere markedspladser.

Datasættet rummer i alt 167 millioner konti, hvoraf 117 millioner er forsynet med både e-mails og krypterede adgangskoder.

Nuværende LinkedIn-brugere bør derfor for en sikkerheds skyld ændre deres kodeord - især hvis man ikke har gjort det siden 2012. Over for TV 2 oplyste Deloitte her til morgen, at der er flere danskere blandt de lækkede profiler. Rådgivningsfirmaet anbefaler at tænke sig om.

»Ikke bare vælger vi banale koder, der er meget lette at gætte. Mere end halvdelen af os har også en favoritkode, som vi anvender igen og igen. Det gør os enormt sårbare over for angreb som det, der er sket på LinkedIn«, skriver Deloittes cybersikkerhedsekspert Kim Schlyter i en pressemeddelelse.

I forbindelse med angrebet i 2012, nulstillede LinkedIn data for de brugere, man troede var ramt. Angrebet har dog vist sig en del større end ventet, og en bredere indsats er under planlægning.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Gert G. Larsen

Vi ændrede naturligvis kode tilbage i 2012, da indbruddet blev kendt. Men hvis man ikke har ændret siden da, er det da sikkert en fin idé at gøre det igen efterhånden. Alt efter hvilken religiøs passwordoverbevisning man tror på.

Hvordan har Deloitte påset, at der er danske accounts imellem? Er der en liste over alle accountsne et sted? Elller ligger dataen allerede "offentlig" tilgængelig? Nogen der har et dump?

  • 1
  • 0
Peter Nørregaard Blogger

Er det en fed ide at indtaste sit password i en tjeneste som man ikke kender for at tjekke om det er hacket?

Vi kan vel være sikre på at passwordet ER hacket efter vi har brugt det på den måde, trods de beroligende ord på lastpass som kun de i forvejen paranoide læser..

  • 2
  • 1
Pilu Kasper Bech

Peter når man nu allerede har skiftet sit password. Kan det jo være interessant at se om det faktisk er med i data dumpen af ren interesse. Og det er jo allerede dømt som dårligt password fordi det har været i risiko for at være kompromitteret.

  • 1
  • 0
Jakob H. Heidelberg

Et hashed password kan i denne sammenhæng ikke anvendes "i sig selv", modsat f.eks. på Windows platformen med Pass the Hash angreb (NT hash), men at "gætte" adgangskoden er praktisk muligt på forskellig vis brute-force/wordlist mv), og hurtigt, fordi der 1) her er tale om SHA1 uden "salt" (kort sagt en værdi der gør hashingen unik) og 2) uden anvendelse af algoritmer som i Bcrypt/Scrypt, der gør det "dyrt" for angriberen af beregne hashværdier.

Et standard nVidia Titan X grafikkort kan beregne ca. 6 milliarder SHA1 hashes pr. sekund. Til sammenligning kan det kun beregne ca. 560.00 Scrypt hashes pr. sekund.

  • 0
  • 0
Jakob H. Heidelberg

Jeg retter lige, så andre måske kan læse hvad jeg skriver, sorry.

Et hashed password kan i denne sammenhæng ikke anvendes "i sig selv", modsat f.eks. på Windows platformen med Pass the Hash angreb (NT hash), men at "gætte" adgangskoden er praktisk muligt på forskellig vis (brute-force/wordlist mv), og hurtigt, fordi der 1) her er tale om SHA1 uden "salt" (kort sagt en værdi der gør hashingen unik) og 2) uden anvendelse af algoritmer som i Bcrypt/Scrypt, der gør det "dyrt" for angriberen af beregne hashværdier.

Et standard nVidia Titan X grafikkort kan beregne ca. 6 milliarder SHA1 hashes pr. sekund. Til sammenligning kan det kun beregne ca. 560.000 Scrypt hashes pr. sekund.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize