20.05.2016

Hacker prodává databázi LinkedInu se 167 miliony účty

V roce 2012 unikla na veřejnost zpráva, že služba LinkedIn byla hacknuta. Společnost přiznala únik 6 milionů hesel, načež druhý den se na nejmenovaném ruském fóru objevil dump s 6 458 020 hesly hashovanými pomocí algoritmu SHA1.

Facebook security

Nyní ovšem tento únik nabírá mnohem větších rozměrů, neboť hacker s přezdívkou Peace nabízí na Darknetovém fóru “TheRealDeal” databázi složenou z e-mailů a hesel se 167 370 910 záznamy za 5 BTC (2202 USD). Většina záznamů, 117 milionů, obsahuje hashovaná hesla, zbytek je pravděpodobně od uživatelů, kteří použili spárování s jejich Facebook účtem, a tedy žádná hesla k těmto emailům přiřazeny nejsou.

Tento únik jen vybízí k otázce, jak velké společnosti často opomíjejí bezpečnost jejich klientů. Sice SHA1 je stále považován za bezpečný hashovací algoritmus a nebyly veřejně publikované žádné kolize či úspěšné útoky, nýbrž LinkedIn nedostává ani základům správného hashování - tedy použití saltu.

Není proto žádný problém pomocí dostupných rainbow tabulek či online databází většinu hesel převést zpět do plain textové podoby. My se tak opět můžeme kochat, jak samotní uživatelé LinkedInu dbají na zabezpečení svých účtů pomocí hesla - níže se můžete pro zajímavost podívat na tabulku výskytu jednotlivých hesel z těchto 117 milionů uniklých kombinací.

Pořadí Heslo Výskyt
1. 123456 753 305
2. linkedin 172 523
3. password 144 458
4. 123456789 94 314
5. 12345678 63 769
6. 111111 57 210
7. 1234567 49 652
8. sunshine 39 118
9. qwerty 37 538
10. 654321 33 854
11. 000000 32 490
12. password1 30 981
13. abc123 30 398
14. charlie 28 049
15. linked 25 334
Více na www.leakedsource.com

Kam dál?