La forma en que se extrajeron los datos de los servidores de LinkedIn sigue siendo un misterio, pero como describe Ars Technica [1], alguien en posesión de un gran lote de hashes de contraseñas los publicó en un foro del sitio web de ‘recuperación de contraseña’ para obtener ayuda para descifrar el cifrado.
ACTUALIZACIÓN 25 de junio de 2012: se ha presentado una demanda colectiva contra LinkedIn en relación con este hack. La demanda se basa en la falta de salazón como evidencia de que LinkedIn fue negligente. Una noticia de Venture Beat [10], incluye un escaneo de todo el documento de archivo inicial. La demanda también menciona la posibilidad de que la inyección SQL fuera el vector de ataque. La buena noticia es que la demanda puede revelar más hechos sobre el hack a través del proceso legal de descubrimiento. (6 de enero de 2013: la demanda original se fusionó con varias demandas similares a fines de agosto de 2012. Puede seguir las principales presentaciones judiciales en este caso en Justia [12]).
ACTUALIZACIÓN 16 de junio de 2012: el medio de comunicación australiano CRN ha involucrado a algunas personas en el esfuerzo de descifrar contraseñas para hablar [9]. Los usuarios del foro Inside Pro (donde se publicaron originalmente los hash) afirman que el hack ocurrió en el período de enero a marzo de 2012 basado en contraseñas antiguas conocidas. Otros afirman que el hack usó inyección SQL, pero estas afirmaciones no tienen fundamento. Todavía no hay noticias de los piratas informáticos reales.
- ¿Hay un keylogger en mi computadora?
- Cómo cifrar y proteger mi base de datos SQL con contraseña
- ¿Alguna vez ha 'pirateado' la computadora de alguien? Si asi es, ¿Qué hiciste?
- ¿Cómo se comparan Linux y Windows entre sí en función de su protección y seguridad?
- Cómo abrir una computadora portátil si olvidé su contraseña
El hecho de que alguna de las contraseñas haya sido descifrada puede atribuirse a prácticas de seguridad de mala calidad en LinkedIn. PC World [2], Information Week [3] y otros informaron que los hashes filtrados se crearon con un algoritmo SHA-1 sin sal y que LinkedIn, presumiblemente en respuesta a esta violación, solo ahora está utilizando una técnica de sal en sus contraseñas. La necesidad de la salazón con contraseña [4,5] se conoce desde hace más de 30 años. Sin ella, su base de datos hash es vulnerable a las tablas del arco iris, los ataques de fuerza bruta y los diccionarios de contraseñas débiles comunes. El investigador de seguridad Jeremi Gosney y otros descifraron más del 90% de los hashes y publicaron un análisis detallado de los resultados en esta publicación del 30 de junio en el blog de Security Nirvana [11].
La primera respuesta oficial de LinkedIn [6] a la situación parece decirnos que están utilizando la lista de hash filtrada para descubrir qué cuentas están comprometidas. Esto es preocupante, ya que muchos investigadores de seguridad han señalado que a la lista le faltan muchas de las contraseñas más fáciles, lo que indica que los piratas informáticos pueden haberlas descifrado y eliminarlas de la lista antes de publicarlas. Una crítica más profunda se puede encontrar en el blog de ZDNet [7].
La última publicación en el blog de LinkedIn sobre el pirateo [8] afirma que la policía, incluido el FBI, ha sido involucrada en el caso. Esto hace que sea poco probable que aprendamos algo más sobre los detalles del hackeo a menos y hasta que haya arrestos o algún otro avance importante en el caso penal. La única otra esperanza es que los propios piratas informáticos publiquen detalles de sus hazañas.
1. http://arstechnica.com/security/…
2. http://www.pcworld.com/article/2…
3. http://www.informationweek.com/n…
4. http://stackoverflow.com/questio…
5. https://info.aiaa.org/tac/isg/SO…
6. http://blog.linkedin.com/2012/06…
7. http://www.zdnet.com/blog/btl/li…
8. http://blog.linkedin.com/2012/06…
9. http://www.crn.com.au/News/30454…
10. http://venturebeat.com/2012/06/1…
11. http: //securitynirvana.blogspot….
12. http://dockets.justia.com/docket…
