Derfor blev LinkedIn taget med bukserne nede

Dansk sikkerhedsekspert er ikke i tvivl: Kæmpe hack af dårligt sikrede passwords til millioner af brugere vil ske igen.

Annonce:
Annonce:
Selvom de burde vide bedre, har LinkedIn ikke lært af de seneste års store hacker-sager. Derfor kunne scriptkiddies med lette, automatiske hacker-værktøjer nemt få fingrene i 6,5 millioner passwords til tjenestens brugere.

Og fordi password-hacks af dårligt sikrede brugerdatabaser er blevet en populær amatørsport i hackermiljøerne, vil der fremover komme flere store password-læk i stil med LinkedIn-hacket. Mange flere.

Sådan beskriver den danske itsikkerhedsekspert Peter Kruse forholdene omkring den seneste tids store sager om password-hacks, hvor millioner af brugere på forskellige onlinetjenester som Last.FM, det enorme spilunivers League of Legends fra Riot Games og altså det sociale karrierenetvæk LinkedIn fik deres passwords og brugerkonti hacket og lækket og sandsynligvis solgt til it-kriminelle med misbrug for øje.

Over for ComON kritiserer Peter Kruse, at LinkedIn ikke havde beskyttet tjenestens mange millioner brugeres login-data ordentligt - selvom der hver dag er massive angreb mod netop brugerdatabaser.

I søndags kunne New York Times fortælle, at passwords på LinkedIn kun var omfattaet af den begrænsede beskyttelse, som simpel hash-kryptering udgør. Den normale videre sikkerhedsprocedure, hvor hashede passwords sendes gennem en yderlige krypteringsproces, hvor de "saltes" som ekstra beskyttelseslag, havde LinkedIn udeladt.

Tjenesten havde tilsyneladende ikke engang ansat en sikkerheds-ansvarlig medarbejder, viser avisens research.

"Det er stik imod best practice. Det burde ikke forekomme, og slet ikke på verdens næststørste sociale netværk Det er simpelthen ikke godt nok. Det er utilgiveligt, når man ikke overholder de helt gængse og faktisk meget simple sikkerhedsstandarder, som det er at salte passwords, og ikke bare hasher dem," siger Peter Kruse.

Han mener, at LinkedIn ikke aner, hvad der har ramt dem:

"Det virker som om, de er taget med bukserne nede," siger han.

Hver dag hackes ti bruger-databaser
LinkedIn havde muligvis nemt kunnet undgå det pinlige hack,  der har kostet netværket et enormt prestige-tab og fået et ukendt men formentligt stort antal brugere til at slette deres konti.

Peter Kruse undrer sig især over, at LinkedIn ikke tog ved lære af sidste års stor Sony Playstation-hack, og Stratfor-hacket og flere andre meget store hacker-sager, hvor passwords og brugeroplysninger fra forskellige typer af systemer blev lækket på nettet.

"De burde vide, at det kun er et spørgsmål om tid, at en database, som ikke er sikret, vil blive ramt," siger Peter Kruse til ComON.

Han påpeger, at man på et site som Pastebin, hvor mange i undergrundsmiljøet  offentliggør "udbyttet" fra hackerangreb, dagligt kan finde eksempler på, at firmaer har fået en brugerdatabase med passwords hacket.

"Vi har crawlet Pastebin det seneste år, og ikke én dag er gået uden, at der er minimum ti forskellige læk fra forskellige firmaer," siger Peter Kruse med henvisning til sit sikerhedsrådgivningsfirma firma, CSIS.

Lavthængende frugter
At det for nylig er meget store databaser som LinkedIn og Riot Games (League of Nations har ifølge egne oplysninger over 11 millioner aktive brugere), der er blevet hacket, får dog ikke den danske sikkerhedsekspert til at frygte for sammensværgelser eller kriminelle aktiviteter på særligt højt plan.

"I virkeligheden tror jeg, at LinkedIn-lækket er 7-8 måneder gammelt, og det skyldes højst sandsynligt, at nogle hackere har konkurreret om, hvor mange systemer, de har kunnet kompromittere. Og så har vinderen sikkert fået nogle skulderklap. Mere skal der ikke til," siger han.

Gerningsmændene bag LinkedIn-hacket kan måske knapt nok kaldes hackere, mener Peter Kruse:

"En masse mennesker har taget de der automatiserede værktøjer til sig, og er gået på jagt på nettet efter dårligt sikrede databaser. Og vi må bare erkende, at der for tiden er vildt mange lavthængende frugter, de kan plukke," lyder vurderingen fra Peter Kruse.


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Konica Minolta Business Solutions Denmark A/S
Salg af kopimaskiner, digitale produktionssystemer og it-services.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

White papers
I dette white paper kan du læse om, hvad medarbejderne i dag forventer af dine...

I dette white paper kan du læse om Software AG's unikke tilgang til Intelligent Business...

I dette white paper kan du læse om de centrale egenskaber ved intelligente forretningsprocesser,...

 
Kommende events
Datacentre

It-chefens måske vigtigste opgave er hele tiden at vælge den mest optimale måde at håndtere virksomhedens data på - herunder at vælge hvor og hvordan virksomhedens data skal behandles. Læs mere

Pfizers Konferencecenter - 2750 Ballerup



Cloud Masterclass

Bliv klædt på til at træffe dine egne beslutninger om brugen af cloud-løsninger. Kom til Computerworld Cloud Masterclass og hør danske cases og internationale eksperter fra IBM, Microsoft og Amazon. Læs mere

Park Inn Radisson - 2300 København



Har du styr på IT sikkerheden?

Hvad gør din virksomhed for at lukke døren for hackere? Og ved du hvad dine IT konsulenter foretager sig på dit netværk? Flere "devices" på netværket og flere konsulenter til at servicere dem eksponerer dit netværk for cyber trusler. Hør mere om Vendor Risk Management og sikker remote access på dette How To? Læs mere

Pfizers Konferencecenter - 2750 Ballerup







Log ind
x
E-mail
Kodeord