A rede social profissional LinkedIn está a investigar uma suposta falha de segurança que permitiu que mais de 6 milhões de palavras-passe fossem roubadas e expostas na Internet.
Um grupo de Hackers publicou num fórum russo um ficheiro contendo passwords encriptadas do LinkedIn. Este grupo deixou o convite à comunidade de hackers para os ajudar a descodificar o ficheiro.
O LinkedIn, que tem mais de 150 milhões de utilizadores, não apresentou formalmente nenhuma declaração oficial sobre o caso, no entanto tweetou o seguinte: “Our team is currently looking into reports.”
Um especialista de segurança, Graham Cluley disse à BBC que acredita que a falha de segurança seja genuína.
“We’ve confirmed there are LinkedIn passwords in the data.
“We did this by searching through the data for (hashed) passwords that we at Sophos use only on LinkedIn. We found those passwords in the data. We also saw that hundreds of the passwords contain the word ‘Linkedin’.
“Our advice is to change your LinkedIn password. And if you use the same password on other accounts, change it there too.”
Sugere-se de imediato a substituição das palavras passe para que seja menor o impacto caso as passwords sejam expostas ao mundo.
Estão a ser reportados também esforços por parte do LinkedIn onde estes estão a forçar os utilizadores que recorrem à app mobile a alterarem a palavra passe, comportamento que começou logo após o conhecimento da falha de segurança, por parte dos investigadores.
Skycure Security, empresa de investigação, referiu que a aplicação mobile envia entradas no calendário do sistema operativo do smartphone recorrendo a uma ligação não encriptada e sem o conhecimento do utilizador. As informações enviadas aos servidores incluem as notificações de reuniões o que faz aumentar o risco, visto estas notificações na agenda poderem ter números de telefone e outras informações sensíveis referentes a assuntos privados como palavras passe desses utilizadores.
Em resposta a esta falha de segurança da aplicação mobile o LinkedIn referiu que “no longer send data from the meeting notes section of your calendar“. Não envia agora, mas enviava! A empresa salienta que a opção de envio de dados do Calendário é opcional.
No entanto, os investigadores que descobriram a falha referiram que a transmissão de dados para os servidores do LinkedIn eram enviados sem uma indicação “clara” de que o utilizador estaria a usar aquela aplicação.
Numa declaração deixada no blog da empresa, o responsável pela aplicação mobile LinkedIn refere que será colocada na aplicação um link “learn more” que permitirá ao utilizador ter uma ideia mais clara sobre que tipo de informação está a ser transmitida de dentro do seu smartphone para os serviços do LinkedIn.