Tegnap jogosan kavart nagy vihart, hogy a világ egyik legnépszerűbb, több mint 150 millió regisztrált felhasználóval rendelkező kapcsolattartó portáljáról, a LinkedInről valaki vagy valakik több millió (hashelt) bejelentkezési jelszót szereztek meg, majd ezeket nyilvánosságra is hozták egy orosz weboldalon.

Az első hírek szerint minimálisan 6,5 millió (SHA-1-gyel kezelt) jelszóról van szó, melyekről egyes szakértők úgy vélik, hogy viszonylag könnyű lesz feltörni őket, több mint felét valószínűleg egy nap alatt visszafejthették (azóta már törölt fórumokon a crackerek segítséget is kértek a dekódoláshoz). S ha még ez nem lenne elég, kiderült, hogy a LinkedIn iOS-es alkalmazása a naptári bejegyzéseket plain text formában küldi a szervereknek, ami végtelenül kockázatos megoldás.

A híradások hatására a LinkedIn üzemeltetői hivatalos blogjukban elismerték az incidenst, közölték, hogy vizsgálatot indítottak, emellett bejelentették, hogy az érintett fiókok tulajdonosait értesítették az esetről, hogy jelszóváltoztatásra kérjék őket, ugyanakkor megkezdték az adatbázis erősebb védettségének kialakítását.

Habár a hírek szerint a bejelentkezési nevek nem kerültek a crackerek birtokába, a megszerzett jelszavak lehetőséget adnak a visszaélésre. Egyrészt azért, mert az azonosítók felfedése próbálgatással elég nagy sikerrel megvalósítható. Másrészt elegendő csak arra a bevett gyakorlatra utalni, hogy a kiberbűnözők erősen – és joggal – alapoznak arra, hogy sokan azonos jelszót használnak különféle szolgáltatásokban, így a jelszavakat és birtokukban lévő loginneveket a gyors alkalmazást segítő szoftverekkel más oldalakon kipróbálják, nagyrészt sikerrel.

Gyakorlatilag ezzel egy időben derült ki közzétett listákból, hogy egy társkereső szolgáltatás, a 20 millió taggal rendelkező eHarmony felhasználóinak egy része is kompromittálódott, mivel körülbelül 1,5 millió alig titkosított (MD5) hash került nyilvánosságra.