Derfor blev LinkedIn taget med bukserne nede

Dansk sikkerhedsekspert er ikke i tvivl: Kæmpe hack af dårligt sikrede passwords til millioner af brugere vil ske igen.

Annonce:
Annonce:
Selvom de burde vide bedre, har LinkedIn ikke lært af de seneste års store hacker-sager. Derfor kunne scriptkiddies med lette, automatiske hacker-værktøjer nemt få fingrene i 6,5 millioner passwords til tjenestens brugere.

Og fordi password-hacks af dårligt sikrede brugerdatabaser er blevet en populær amatørsport i hackermiljøerne, vil der fremover komme flere store password-læk i stil med LinkedIn-hacket. Mange flere.

Sådan beskriver den danske itsikkerhedsekspert Peter Kruse forholdene omkring den seneste tids store sager om password-hacks, hvor millioner af brugere på forskellige onlinetjenester som Last.FM, det enorme spilunivers League of Legends fra Riot Games og altså det sociale karrierenetvæk LinkedIn fik deres passwords og brugerkonti hacket og lækket og sandsynligvis solgt til it-kriminelle med misbrug for øje.

Over for ComON kritiserer Peter Kruse, at LinkedIn ikke havde beskyttet tjenestens mange millioner brugeres login-data ordentligt - selvom der hver dag er massive angreb mod netop brugerdatabaser.

I søndags kunne New York Times fortælle, at passwords på LinkedIn kun var omfattaet af den begrænsede beskyttelse, som simpel hash-kryptering udgør. Den normale videre sikkerhedsprocedure, hvor hashede passwords sendes gennem en yderlige krypteringsproces, hvor de "saltes" som ekstra beskyttelseslag, havde LinkedIn udeladt.

Tjenesten havde tilsyneladende ikke engang ansat en sikkerheds-ansvarlig medarbejder, viser avisens research.

"Det er stik imod best practice. Det burde ikke forekomme, og slet ikke på verdens næststørste sociale netværk Det er simpelthen ikke godt nok. Det er utilgiveligt, når man ikke overholder de helt gængse og faktisk meget simple sikkerhedsstandarder, som det er at salte passwords, og ikke bare hasher dem," siger Peter Kruse.

Han mener, at LinkedIn ikke aner, hvad der har ramt dem:

"Det virker som om, de er taget med bukserne nede," siger han.

Hver dag hackes ti bruger-databaser
LinkedIn havde muligvis nemt kunnet undgå det pinlige hack,  der har kostet netværket et enormt prestige-tab og fået et ukendt men formentligt stort antal brugere til at slette deres konti.

Peter Kruse undrer sig især over, at LinkedIn ikke tog ved lære af sidste års stor Sony Playstation-hack, og Stratfor-hacket og flere andre meget store hacker-sager, hvor passwords og brugeroplysninger fra forskellige typer af systemer blev lækket på nettet.

"De burde vide, at det kun er et spørgsmål om tid, at en database, som ikke er sikret, vil blive ramt," siger Peter Kruse til ComON.

Han påpeger, at man på et site som Pastebin, hvor mange i undergrundsmiljøet  offentliggør "udbyttet" fra hackerangreb, dagligt kan finde eksempler på, at firmaer har fået en brugerdatabase med passwords hacket.

"Vi har crawlet Pastebin det seneste år, og ikke én dag er gået uden, at der er minimum ti forskellige læk fra forskellige firmaer," siger Peter Kruse med henvisning til sit sikerhedsrådgivningsfirma firma, CSIS.

Lavthængende frugter
At det for nylig er meget store databaser som LinkedIn og Riot Games (League of Nations har ifølge egne oplysninger over 11 millioner aktive brugere), der er blevet hacket, får dog ikke den danske sikkerhedsekspert til at frygte for sammensværgelser eller kriminelle aktiviteter på særligt højt plan.

"I virkeligheden tror jeg, at LinkedIn-lækket er 7-8 måneder gammelt, og det skyldes højst sandsynligt, at nogle hackere har konkurreret om, hvor mange systemer, de har kunnet kompromittere. Og så har vinderen sikkert fået nogle skulderklap. Mere skal der ikke til," siger han.

Gerningsmændene bag LinkedIn-hacket kan måske knapt nok kaldes hackere, mener Peter Kruse:

"En masse mennesker har taget de der automatiserede værktøjer til sig, og er gået på jagt på nettet efter dårligt sikrede databaser. Og vi må bare erkende, at der for tiden er vildt mange lavthængende frugter, de kan plukke," lyder vurderingen fra Peter Kruse.


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Software Innovation A/S
Udvikler, sælger og implementerer software til ESDH, CRM og portaler. Fokus på detailhandel, bygge- og anlæg, energi og finans.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Bliv klar til EU's nye persondataforordning

EU's kommende nye persondata-forordning får konsekvenser for alle virksomheder og organisationer, som fremover skal have et langt skarpere fokus på persondata-ret og it-sikkerhed. På denne konference får du fuldt overblik over regler og konsekvenser samt de konkrete forhold, som DPO'en skal forholde sig til. Læs mere

Idrættens Hus - 2605 Brøndby



Oplev Fremtidens ERP

Går du med tanker om at udskifte dit ERP-system, så giver Fremtidens ERP dig opdateret viden og inspiration til hvad den fremtidssikrede ERP-løsning anno 2016 bør indeholde. Unit4 inviterer til seminar torsdag den 26. maj i København, hvor vi skal se på hvad cloud, big data og machine learning kan tilbyde servicevirksomheder. Du vil derudover også få tips til hvordan du finder den rigtige løsning for netop din virksomhed og hvilke faldgruber du bør undgå. Læs mere

Comwell Conference Center Copenhagen (AC Hotel Bella Sky) - 2300 København S



Få bedre performance på forretningskritiske applikationer

Nutidens virksomheder drives af it og specielt software. Bliv opdateret på, hvordan brugen af APM kan hjælpe og understøtte overgangen til en softwaredefineret forretning. Læs mere

Wihlborgs Konferencecenter - 2750 Ballerup







Computerworld
Vi kørte med i en patruljevogn med nummerpladegenkendelse: Efter tre minutter blev den første bil stoppet
Reportage: Med nummerpladegenkendelse kan politiet holde øje med alt fra forsikringssvindlere til terrormistænkte. Vi tog med på en prøvetur i en patruljevogn, og det blev en ganske imponerende oplevelse.
CIO
Sådan fik Jonny Vad reduceret it-nedetiden fra 37.000 timer til næsten nul på et enkelt år
Ved at overvåge it-leverandørernes præstationer røg antallet af spildte arbejdstimer ned fra 37.000 til ganske få timer på et enkelt år. "Det er ganske enkelt og uhyre effektivt," fortæller it-chefen, der fik ideen.
Comon
Stortest af antivirusprogrammer: Microsofts sikkerhedsprogram havner helt i bunden
Microsoft havner helt i bunden af denne antivirustest. I den modsatte ende af skalaen klarer en russisk produceret sikkerhedspakke sig bedst. Læs en sammenlignende test af 19 antivirusprogrammer her.
Channelworld
Microsoft skruer gevaldigt op for dansk udviklingscenter: Hyrer udviklere i bundter
Microsoft ansætter op mod 50 nye udviklere i selskabets største investering på dansk jord siden opkøbet af Navision i 2002.
White paper
Den igangværende IT udfordring: Total tilgængelighed 24x7x365
Sådan håndterer du den voksende it-udfordring: Total tilgængelighed