Mehr als 6 Millionen LinkedIn Passwörter öffentlich einsehbar

Aufgrund der Beliebtheit der Webseite LinkedIn haben wir uns entschlossen, folgende Warnung herauszugeben.

Beschreibung

CERT.at wurde am 6.6.2012 informiert, dass ungefähr 6,5 Millionen gehashte Passwörter von LinkedIn Benutzern öffentlich im Internet einsehbar sind. An sich handelt es sich hierbei um gehashte ("verschlüsselte") Passwörter, da es aber mittlerweile relativ einfach geworden ist, von einem gehashtem Passwort auf den Klartext zurückzurechnen, empfehlen wir dringend, das eigene Passwort zu ändern. In den veröffentlichten Dateien sind nur (unsaltet) SHA1 Passwörter. Das heisst, dass dieses Zurückrechnen noch einfacher ist. In diversen Foren werden schon die ersten unverschlüsselten Passwörter gepostet.

Dimension des Problems

Laut blogaboutjob.de hatte LinkedIn im August 2011 2 Millionen Benutzer im deutschsprachigen Raum (versus 4,9 Millionen von XING).

Auswirkungen

CERT.at geht davon aus, dass die Angreifer nicht nur im Besitz der gehashten Passwörter sind, sondern auch die zugehörigen Benutzernamen kennen. Betroffen sind potentiell viele LinkedIn Benutzer, deren Passwort in der Liste ist. Allerdings sehen wir einen langanhaltenden Trend, dass viele Passwörter auf unterschiedlichsten Diensten wiederverwendet werden. Somit sind auch diese Accounts gefährdet. Weiters gehen wir davon aus, da die Hashes öffentlich bekannt sind, dass diverse Passwort-Cracking Tools verbessert werden.

Empfehlungen

Wir raten somit, erstens einmal das eigene LinkedIn Passwort zu ändern als auch im eigenen Unternehmen entsprechende Schritte zu setzen. Ebenso sollte das Passwort auf allen anderen Seiten / Services geändert werden, auf welchen es wiederverwendet wurde.

Hinweise

Generell empfiehlt CERT.at, nicht überall das selbe Passwort zu verwenden.