Derfor blev LinkedIn taget med bukserne nede

Dansk sikkerhedsekspert er ikke i tvivl: Kæmpe hack af dårligt sikrede passwords til millioner af brugere vil ske igen.

Annonce:
Annonce:
Selvom de burde vide bedre, har LinkedIn ikke lært af de seneste års store hacker-sager. Derfor kunne scriptkiddies med lette, automatiske hacker-værktøjer nemt få fingrene i 6,5 millioner passwords til tjenestens brugere.

Og fordi password-hacks af dårligt sikrede brugerdatabaser er blevet en populær amatørsport i hackermiljøerne, vil der fremover komme flere store password-læk i stil med LinkedIn-hacket. Mange flere.

Sådan beskriver den danske itsikkerhedsekspert Peter Kruse forholdene omkring den seneste tids store sager om password-hacks, hvor millioner af brugere på forskellige onlinetjenester som Last.FM, det enorme spilunivers League of Legends fra Riot Games og altså det sociale karrierenetvæk LinkedIn fik deres passwords og brugerkonti hacket og lækket og sandsynligvis solgt til it-kriminelle med misbrug for øje.

Over for ComON kritiserer Peter Kruse, at LinkedIn ikke havde beskyttet tjenestens mange millioner brugeres login-data ordentligt - selvom der hver dag er massive angreb mod netop brugerdatabaser.

I søndags kunne New York Times fortælle, at passwords på LinkedIn kun var omfattaet af den begrænsede beskyttelse, som simpel hash-kryptering udgør. Den normale videre sikkerhedsprocedure, hvor hashede passwords sendes gennem en yderlige krypteringsproces, hvor de "saltes" som ekstra beskyttelseslag, havde LinkedIn udeladt.

Tjenesten havde tilsyneladende ikke engang ansat en sikkerheds-ansvarlig medarbejder, viser avisens research.

"Det er stik imod best practice. Det burde ikke forekomme, og slet ikke på verdens næststørste sociale netværk Det er simpelthen ikke godt nok. Det er utilgiveligt, når man ikke overholder de helt gængse og faktisk meget simple sikkerhedsstandarder, som det er at salte passwords, og ikke bare hasher dem," siger Peter Kruse.

Han mener, at LinkedIn ikke aner, hvad der har ramt dem:

"Det virker som om, de er taget med bukserne nede," siger han.

Hver dag hackes ti bruger-databaser
LinkedIn havde muligvis nemt kunnet undgå det pinlige hack,  der har kostet netværket et enormt prestige-tab og fået et ukendt men formentligt stort antal brugere til at slette deres konti.

Peter Kruse undrer sig især over, at LinkedIn ikke tog ved lære af sidste års stor Sony Playstation-hack, og Stratfor-hacket og flere andre meget store hacker-sager, hvor passwords og brugeroplysninger fra forskellige typer af systemer blev lækket på nettet.

"De burde vide, at det kun er et spørgsmål om tid, at en database, som ikke er sikret, vil blive ramt," siger Peter Kruse til ComON.

Han påpeger, at man på et site som Pastebin, hvor mange i undergrundsmiljøet  offentliggør "udbyttet" fra hackerangreb, dagligt kan finde eksempler på, at firmaer har fået en brugerdatabase med passwords hacket.

"Vi har crawlet Pastebin det seneste år, og ikke én dag er gået uden, at der er minimum ti forskellige læk fra forskellige firmaer," siger Peter Kruse med henvisning til sit sikerhedsrådgivningsfirma firma, CSIS.

Lavthængende frugter
At det for nylig er meget store databaser som LinkedIn og Riot Games (League of Nations har ifølge egne oplysninger over 11 millioner aktive brugere), der er blevet hacket, får dog ikke den danske sikkerhedsekspert til at frygte for sammensværgelser eller kriminelle aktiviteter på særligt højt plan.

"I virkeligheden tror jeg, at LinkedIn-lækket er 7-8 måneder gammelt, og det skyldes højst sandsynligt, at nogle hackere har konkurreret om, hvor mange systemer, de har kunnet kompromittere. Og så har vinderen sikkert fået nogle skulderklap. Mere skal der ikke til," siger han.

Gerningsmændene bag LinkedIn-hacket kan måske knapt nok kaldes hackere, mener Peter Kruse:

"En masse mennesker har taget de der automatiserede værktøjer til sig, og er gået på jagt på nettet efter dårligt sikrede databaser. Og vi må bare erkende, at der for tiden er vildt mange lavthængende frugter, de kan plukke," lyder vurderingen fra Peter Kruse.


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Computerworld A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Udnyt alle de nye muligheder i Office 365 og Sharepoint og få mere ud af programmerne

Microsoft-systemerne Office 365 og Sharepoint er blandt de mest succesfulde produkter fra Microsoft i de seneste år. De to programmer spiller en central rolle i Microsofts nye cloud-strategi, hvor systemer og programmer skal sammenbindes og udnytte hinandens fordele. Læs mere

Wihlborgs Konferencecenter - 2750 Ballerup



CIO Executive Update

CIO Executive Update er kombinationen af oplæg fra en international top-CIO og muligheden for at netværke med andre CIOs og it-direktører gennem flere round tables om aktuelle emner. Læs mere

Søhuset - 2970 Hørsholm



Mobility

Mobility i din virksomhed kan skabe store forbedringer og optimeringer, men der er mange indfaldsveje, så hvor begynder du? Med de interne systemer? Med arbejdsgangene? Og hvordan undgår du at blive låst fast på bestemte platforme eller løsninger? Det giver Computerworlds Mobile løsninger en række bud på. Læs mere

Whilborgs Konferencecenter - 2750 Ballerup







Computerworld
Nye iOS-opdateringer tvangslukker din iPhone hvis du har repareret telefonen uden om Apple
Apple gør din telefon ubrugelig, hvis du har brugt uautoriserede reservedele. Men bare rolig. Det er for din egen skyld, lyder forklaringen fra Apple.
CIO
Her kan den danske stat lære noget: Sådan skifter Nordea it-platform til 7,5 milliarder kroner
Efter flere års tilløb er Nordea godt i gang med at udskifte hele sin it-infrastruktur. Læs her, hvordan projektet til mere end syv milliarder kroner minder om statens it-udfordringer, og hvordan den nordiske storbank griber opgaven an.
Comon
Xbox ramt af syv timer langt nedbrud: Så fik kendt musiker nok
Frustrationer over gårsdagens lange nedbrud på Xbox-netværket har fået gangsterrapperen Snoop Dogg til at gå amok over for Microsoft og selskabets stifter Bill Gates. Se videoen her.
Channelworld
Her er de mulige - og mest sandsynlige - købere af Fona
Fona skal inden 25. februar finde en villig investor, som helt eller delvis vil overtage den kriseramte butikskæde. Alternativet er en konkurs. Her har du en oversigt over de mulige købere af selskabet.
White paper
Støt produktiviteten med virtuelt samarbejde
Virtuelle samarbejdsløsninger kan være med til at øge produktivitet og samarbejde internt i virksomheden og eksternt med kunder og samarbejdspartnere. Bliv klogere på collaboration i dette White paper, skrevet af Computerworld.