Proponha uma correção, faça uma sugestão
LinkedIn atacado e 6 milhões de passwords roubadas
A rede social profissional LinkedIn está a investigar uma suposta falha de segurança que permitiu que mais de 6 milhões de palavras-passe fossem roubadas e expostas na Internet.
Um grupo de Hackers publicou num fórum russo um ficheiro contendo passwords encriptadas do LinkedIn. Este grupo deixou o convite à comunidade de hackers para os ajudar a descodificar o ficheiro.
O LinkedIn, que tem mais de 150 milhões de utilizadores, não apresentou formalmente nenhuma declaração oficial sobre o caso, no entanto tweetou o seguinte: "Our team is currently looking into reports."
Um especialista de segurança, Graham Cluley disse à BBC que acredita que a falha de segurança seja genuína.
"We've confirmed there are LinkedIn passwords in the data.
"We did this by searching through the data for (hashed) passwords that we at Sophos use only on LinkedIn. We found those passwords in the data. We also saw that hundreds of the passwords contain the word 'Linkedin'.
"Our advice is to change your LinkedIn password. And if you use the same password on other accounts, change it there too."
Sugere-se de imediato a substituição das palavras passe para que seja menor o impacto caso as passwords sejam expostas ao mundo.
Estão a ser reportados também esforços por parte do LinkedIn onde estes estão a forçar os utilizadores que recorrem à app mobile a alterarem a palavra passe, comportamento que começou logo após o conhecimento da falha de segurança, por parte dos investigadores.
Skycure Security, empresa de investigação, referiu que a aplicação mobile envia entradas no calendário do sistema operativo do smartphone recorrendo a uma ligação não encriptada e sem o conhecimento do utilizador. As informações enviadas aos servidores incluem as notificações de reuniões o que faz aumentar o risco, visto estas notificações na agenda poderem ter números de telefone e outras informações sensíveis referentes a assuntos privados como palavras passe desses utilizadores.
Em resposta a esta falha de segurança da aplicação mobile o LinkedIn referiu que "no longer send data from the meeting notes section of your calendar". Não envia agora, mas enviava! A empresa salienta que a opção de envio de dados do Calendário é opcional.
No entanto, os investigadores que descobriram a falha referiram que a transmissão de dados para os servidores do LinkedIn eram enviados sem uma indicação "clara" de que o utilizador estaria a usar aquela aplicação.
Numa declaração deixada no blog da empresa, o responsável pela aplicação mobile LinkedIn refere que será colocada na aplicação um link "learn more" que permitirá ao utilizador ter uma ideia mais clara sobre que tipo de informação está a ser transmitida de dentro do seu smartphone para os serviços do LinkedIn.
Este artigo tem mais de um ano
Loading ...
Não uso, mas já recebi muitos emais chatos a pedir para entrar.
Há uma coisa que podem ter a certeza, o problema nem está na senha deste site, o problema está em se tem acesso ao email da pessoa correspondente à senha, é uma quantidade enorme de senhas de email, facebook etc etc etc…
isto porque o erro é que a maioria e digo maioria sem contar connosco (comunidade geek) usa a mesma senha para tudo.
Cumpts
Nem de propósito, hoje passei pela página oficial do LinkedIn e pensei em entrar, estou a procurar alternativas ao Facebook.
Quanto às senhas para tudo, existe algo que resolve este problema de forma exemplar: Basta usar o Keepass! É multiplataforma, comprovadamente seguro e eficaz. Desde que comecei a usar aliviei a minha mente em relação a preocupações de passwords e logins.
Xavier,
O Linkein não é uma alternativa ao facebook.
É uma rede social profissional, aonde se apresenta o curriculum e se procura/oferece oportunidades de emprego\negócio.
Não há jogos, fotos, brincadeiras, etc, tal como no facebook.
Experimenta que vais gostar
qual é o forum russo referido?
Depois de uma pesquisa rapida no google
https://disk.yandex.net/disk/public/?hash=pCAcIfV7wxXCL/YPhObEEH5u5PKPlp+muGtgOEptAS4=
https://rapidshare.com/files/3253529642/combo_not.zip
Podem sacar isso , converterem a vossa pass para sha1 e depois pesquisar nesse ficheiro.
felizmente a minha não estava la
Verificar isto tambem
http://news.ycombinator.com/item?id=4073928
Cuidado, apenas para sha1 pode não funcionar
(linux): grep $(echo -n “123456” | sha1sum | cut -c 6-40) file.txt
Os primeiros 3 bytes das hashes podem estar “cortados”
Infelizmente a minha password estava no ficheiro.
Obrigado por terem disponibilizado este artigo e o link para o ficheiro!
Já estive a alterar a password nos outros sites onde a estava a usar… que grande seca :(!
Epá, seria de pensar que num site para profissionais, o sistema de autenticação tivesse sido feito por… profissionais.
Guardar só os hashs sem lhes juntar sal é um erro de amador.