今日は LinkedIn にとって良い日ではありません。同社の iOS アプリがユーザーのプライバシーを侵害する可能性があるとの報告を受けて詳細なカレンダーエントリを送信する暗号化された LinkedIn パスワード 646 万件がオンラインに漏洩したという報告が届きました。
ロシアのフォーラム ユーザーが LinkedIn をハッキングし、証拠として 6,458,020 個の暗号化されたパスワード (ユーザー名なし) をアップロードしたと主張しています。
パスワードは、SSL および TLS で使用される SHA-1 暗号化ハッシュ関数で暗号化され、一般に比較的安全であると考えられていますが、絶対確実ではない。残念ながら、パスワードはソルトなしのハッシュとして保存されているようで、事前に計算されたレインボー テーブルを使用すると解読がはるかに簡単になります。
簡単に言うと、これは、攻撃者が非常に安価なリソースを使用して、比較的短時間で多くのパスワードを解読できる可能性があることを意味します。
パスワードの収集が本物ではない可能性もありますが、ツイッターで報告話に信憑性を加えます。 LinkedInはTwitterで、この問題を調査中であると述べた。
私たちのチームは現在、パスワードの盗難に関する報告を調査しています。今後の続報にご期待ください。 — LinkedIn (@LinkedIn)2012 年 6 月 6 日
フィンランドの警備会社Cert-Fiはこの事件について警告を投稿し、LinkedInをハッキングした人物が付随するユーザー名も所有している「可能性が高い」と述べた。