Årets største mobilugeMobile World Congress i Barcelona er i gang. Følg Computerworlds dækning her

Derfor blev LinkedIn taget med bukserne nede

Dansk sikkerhedsekspert er ikke i tvivl: Kæmpe hack af dårligt sikrede passwords til millioner af brugere vil ske igen.

Annonce:
Annonce:
Selvom de burde vide bedre, har LinkedIn ikke lært af de seneste års store hacker-sager. Derfor kunne scriptkiddies med lette, automatiske hacker-værktøjer nemt få fingrene i 6,5 millioner passwords til tjenestens brugere.

Og fordi password-hacks af dårligt sikrede brugerdatabaser er blevet en populær amatørsport i hackermiljøerne, vil der fremover komme flere store password-læk i stil med LinkedIn-hacket. Mange flere.

Sådan beskriver den danske itsikkerhedsekspert Peter Kruse forholdene omkring den seneste tids store sager om password-hacks, hvor millioner af brugere på forskellige onlinetjenester som Last.FM, det enorme spilunivers League of Legends fra Riot Games og altså det sociale karrierenetvæk LinkedIn fik deres passwords og brugerkonti hacket og lækket og sandsynligvis solgt til it-kriminelle med misbrug for øje.

Over for ComON kritiserer Peter Kruse, at LinkedIn ikke havde beskyttet tjenestens mange millioner brugeres login-data ordentligt - selvom der hver dag er massive angreb mod netop brugerdatabaser.

I søndags kunne New York Times fortælle, at passwords på LinkedIn kun var omfattaet af den begrænsede beskyttelse, som simpel hash-kryptering udgør. Den normale videre sikkerhedsprocedure, hvor hashede passwords sendes gennem en yderlige krypteringsproces, hvor de "saltes" som ekstra beskyttelseslag, havde LinkedIn udeladt.

Tjenesten havde tilsyneladende ikke engang ansat en sikkerheds-ansvarlig medarbejder, viser avisens research.

"Det er stik imod best practice. Det burde ikke forekomme, og slet ikke på verdens næststørste sociale netværk Det er simpelthen ikke godt nok. Det er utilgiveligt, når man ikke overholder de helt gængse og faktisk meget simple sikkerhedsstandarder, som det er at salte passwords, og ikke bare hasher dem," siger Peter Kruse.

Han mener, at LinkedIn ikke aner, hvad der har ramt dem:

"Det virker som om, de er taget med bukserne nede," siger han.

Hver dag hackes ti bruger-databaser
LinkedIn havde muligvis nemt kunnet undgå det pinlige hack,  der har kostet netværket et enormt prestige-tab og fået et ukendt men formentligt stort antal brugere til at slette deres konti.

Peter Kruse undrer sig især over, at LinkedIn ikke tog ved lære af sidste års stor Sony Playstation-hack, og Stratfor-hacket og flere andre meget store hacker-sager, hvor passwords og brugeroplysninger fra forskellige typer af systemer blev lækket på nettet.

"De burde vide, at det kun er et spørgsmål om tid, at en database, som ikke er sikret, vil blive ramt," siger Peter Kruse til ComON.

Han påpeger, at man på et site som Pastebin, hvor mange i undergrundsmiljøet  offentliggør "udbyttet" fra hackerangreb, dagligt kan finde eksempler på, at firmaer har fået en brugerdatabase med passwords hacket.

"Vi har crawlet Pastebin det seneste år, og ikke én dag er gået uden, at der er minimum ti forskellige læk fra forskellige firmaer," siger Peter Kruse med henvisning til sit sikerhedsrådgivningsfirma firma, CSIS.

Lavthængende frugter
At det for nylig er meget store databaser som LinkedIn og Riot Games (League of Nations har ifølge egne oplysninger over 11 millioner aktive brugere), der er blevet hacket, får dog ikke den danske sikkerhedsekspert til at frygte for sammensværgelser eller kriminelle aktiviteter på særligt højt plan.

"I virkeligheden tror jeg, at LinkedIn-lækket er 7-8 måneder gammelt, og det skyldes højst sandsynligt, at nogle hackere har konkurreret om, hvor mange systemer, de har kunnet kompromittere. Og så har vinderen sikkert fået nogle skulderklap. Mere skal der ikke til," siger han.

Gerningsmændene bag LinkedIn-hacket kan måske knapt nok kaldes hackere, mener Peter Kruse:

"En masse mennesker har taget de der automatiserede værktøjer til sig, og er gået på jagt på nettet efter dårligt sikrede databaser. Og vi må bare erkende, at der for tiden er vildt mange lavthængende frugter, de kan plukke," lyder vurderingen fra Peter Kruse.


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
TDC Hosting A/S
Skal din virksomhed med i Guiden? Klik her

Kommende events
Projektstyring/projektledelse

Alle organisationer arbejder med projekter, og målet er altid det samme: Projekterne skal afsluttes til tiden, inden for det fastlagte budget og med det ønskede resultat. Det gælder for både de små projekter samt for de store, mandskabskrævende og ressource tunge projekter med længere tidsramme. Læs mere

Pfizers Konferencecenter - 2750 Ballerup



CIO Executive Update

På CIO Executive Update kan du høre oplæg fra Henrik Amsinck - CIO for LEGO Group - om digitaliseringen af LEGO. Vi sætter desuden fokus på sikkerhed og mobility på to eksklusive roundtables - og giver plads til netværket med andre CIOs og it-direktører. Læs mere

Comwell Aarhus - 8000 Aarhus



Få styr på din hosting - sådan får du mere ud at dine data

Kom og hør om de nyeste metoder og teknologier, der giver dig mulighed for at øge udbyttet af dine data og din storage. Læs mere

Idrættens Hus - 2605 Brøndby






Computerworld
"Når folk ser min tatovering, spørger de som regel, om den er ægte. Og det er den altså"
"Jeg går vildt meget op i ECM, og det har jeg gjort i 13-14 år. Jeg synes, at det er skidespændende og det sejeste i hele verden, og der er faktisk ikke noget bedre. Jeg har også skrevet en bog om det."
CIO
Google klar med 'Android for Work' - sådan vil Google få virksomhederne til at skifte til Android
Google ser store muligheder for indtjening, hvis selskabet kan få virksomhederne til at vælge Android som mobil-platform. Nu er selskabet klar med særlig 'Android for Work'-løsning.
Comon
Førstehåndsindtryk: Samsung Galaxy S6 og S6 edge er den helt rigtige vej for Samsung
Samsung Galaxy S6 og S6 Edge er de to nye telefoner fra Samsung, der skal vende den nedadgående kurve for selskabet. Kom med og få vores førstehåndsindtryk.
Channelworld
Microsoft svinger pisken over sine forhandlere: Flere kunder skal op i skyen
Forhandlere, der sælger abonnementer på Microsofts Office 365, gør ikke nok at sende kunderne op i skyen, mener Microsoft.
White paper
Roadmap til skyen
Læs her hvordan du skaber et roadmap til cloud-strategien, og hvordan IBM kan hjælpe dig som cloud-partner.