לינקדאין אישרה שנגנבו סיסמאות של משתמשים באתר

לינקדאין (LinkedIn) אישרה אמש (ד'), כי חלק מהסיסמאות שהופיעו ברשימה שפורסמה ברשת שייכות למשתמשי האתר, אך לא הסבירה כיצד נגנבו הסיסמאות.

"אנחנו יכולים לאשר שחלק מהסיסמאות שפורסמו שייכות לחשבונות לינקדאין", כתב ויסנטה סילבירה, מנהל ברשת החברתית, בהודעה שפרסם בבלוג. לא ידוע כמה מהסיסמאות שברשימה אמנם שייכות למשתמשי לינקדאין, אולם נמסר שכל הסיסמאות שנגנבו כבר בוטלו ובעלי החשבונות קיבלו הוראות מתאימות מהחברה. כדי למנוע תרמיות פישינג, ההודעות המקוריות שנשלחו מלינקדאין אינן כוללות קישורים.

הרשימה של הסיסמאות פורסמה בשרת רוסי שכבר הוסר מהרשת וכללה כ-6.5 מיליון פריטים. לא ברור כמה מהסיסמאות תקפות וכמה מהן פוענחו. סילבירה ציין, כי לינקדאין בודקת את הפרשה ונוקטת באמצעים הנחוצים כדי לשפר את האבטחה.

פול קושר, הנשיא והמדען הראשי של חברת Cryptography Research, הסביר שלינקדאין הצפינה אמנם את קובץ הסיסמאות אך לא נקטה באמצעים הנחוצים כדי להקשות על פענוח הקובץ – תהליך המכונה Salting. זאת, משום שמפתח ההצפנה היה זהה בכל הסיסמאות, ואם הפורצים מצליחים לנחש סיסמה אחת, הם יכולים לפענח בעזרתה את כל הסיסמאות שבקובץ.

"הם לא הצפינו את הסיסמאות בצורה שתחייב פענוח מחדש לגבי כל חשבון וחשבון והם לא הפרידו וניהלו את נתוני המשתמשים בצורה שתמנע גניבה", אמר. "הדבר היחיד שיכול להיות גרוע יותר מבחינתם הוא לא להצפין את הנתונים כלל, אבל המחדלים שלהם אינם רחוקים מכך".

לעומתה, סילבירה ציין שלינקדאין מבצעת תהליך של Salting. עוד הוא כתב בבלוג, כי "אנחנו מתנצלים על אי הנוחות שנגרמה ומתייחסים לאבטחה במלוא הרצינות".