Derfor blev LinkedIn taget med bukserne nede

Dansk sikkerhedsekspert er ikke i tvivl: Kæmpe hack af dårligt sikrede passwords til millioner af brugere vil ske igen.

Selvom de burde vide bedre, har LinkedIn ikke lært af de seneste års store hacker-sager. Derfor kunne scriptkiddies med lette, automatiske hacker-værktøjer nemt få fingrene i 6,5 millioner passwords til tjenestens brugere.

Og fordi password-hacks af dårligt sikrede brugerdatabaser er blevet en populær amatørsport i hackermiljøerne, vil der fremover komme flere store password-læk i stil med LinkedIn-hacket. Mange flere.

Sådan beskriver den danske itsikkerhedsekspert Peter Kruse forholdene omkring den seneste tids store sager om password-hacks, hvor millioner af brugere på forskellige onlinetjenester som Last.FM, det enorme spilunivers League of Legends fra Riot Games og altså det sociale karrierenetvæk LinkedIn fik deres passwords og brugerkonti hacket og lækket og sandsynligvis solgt til it-kriminelle med misbrug for øje.

Over for ComON kritiserer Peter Kruse, at LinkedIn ikke havde beskyttet tjenestens mange millioner brugeres login-data ordentligt - selvom der hver dag er massive angreb mod netop brugerdatabaser.

I søndags kunne New York Times fortælle, at passwords på LinkedIn kun var omfattaet af den begrænsede beskyttelse, som simpel hash-kryptering udgør. Den normale videre sikkerhedsprocedure, hvor hashede passwords sendes gennem en yderlige krypteringsproces, hvor de "saltes" som ekstra beskyttelseslag, havde LinkedIn udeladt.

Tjenesten havde tilsyneladende ikke engang ansat en sikkerheds-ansvarlig medarbejder, viser avisens research.

"Det er stik imod best practice. Det burde ikke forekomme, og slet ikke på verdens næststørste sociale netværk Det er simpelthen ikke godt nok. Det er utilgiveligt, når man ikke overholder de helt gængse og faktisk meget simple sikkerhedsstandarder, som det er at salte passwords, og ikke bare hasher dem," siger Peter Kruse.

Han mener, at LinkedIn ikke aner, hvad der har ramt dem:

"Det virker som om, de er taget med bukserne nede," siger han.

Hver dag hackes ti bruger-databaser
LinkedIn havde muligvis nemt kunnet undgå det pinlige hack,  der har kostet netværket et enormt prestige-tab og fået et ukendt men formentligt stort antal brugere til at slette deres konti.

Peter Kruse undrer sig især over, at LinkedIn ikke tog ved lære af sidste års stor Sony Playstation-hack, og Stratfor-hacket og flere andre meget store hacker-sager, hvor passwords og brugeroplysninger fra forskellige typer af systemer blev lækket på nettet.

"De burde vide, at det kun er et spørgsmål om tid, at en database, som ikke er sikret, vil blive ramt," siger Peter Kruse til ComON.

Han påpeger, at man på et site som Pastebin, hvor mange i undergrundsmiljøet  offentliggør "udbyttet" fra hackerangreb, dagligt kan finde eksempler på, at firmaer har fået en brugerdatabase med passwords hacket.

"Vi har crawlet Pastebin det seneste år, og ikke én dag er gået uden, at der er minimum ti forskellige læk fra forskellige firmaer," siger Peter Kruse med henvisning til sit sikerhedsrådgivningsfirma firma, CSIS.

Lavthængende frugter
At det for nylig er meget store databaser som LinkedIn og Riot Games (League of Nations har ifølge egne oplysninger over 11 millioner aktive brugere), der er blevet hacket, får dog ikke den danske sikkerhedsekspert til at frygte for sammensværgelser eller kriminelle aktiviteter på særligt højt plan.

"I virkeligheden tror jeg, at LinkedIn-lækket er 7-8 måneder gammelt, og det skyldes højst sandsynligt, at nogle hackere har konkurreret om, hvor mange systemer, de har kunnet kompromittere. Og så har vinderen sikkert fået nogle skulderklap. Mere skal der ikke til," siger han.

Gerningsmændene bag LinkedIn-hacket kan måske knapt nok kaldes hackere, mener Peter Kruse:

"En masse mennesker har taget de der automatiserede værktøjer til sig, og er gået på jagt på nettet efter dårligt sikrede databaser. Og vi må bare erkende, at der for tiden er vildt mange lavthængende frugter, de kan plukke," lyder vurderingen fra Peter Kruse.


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Kompetera A/S
Hardware, licenser, konsulentydelser

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Microsofts løsninger: Mod den store digitale transformation

Vi er for fuld fart i gang med den store digitale transformation, der med smarte it-systemer kommer til at ændre en meget stor del af vores processer, produktion og måde at arbejde på. På denne konference vil du kunne høre om de seneste bud på it-systemer, der i Microsoft-universet understøtter kursen mod den digitale transformation og smart it-udnyttelse.

28. februar 2017 | Læs mere


Bliv klar til EU's persondataforordning: It-opgaver, ansvar og teknologiske muligheder

EU's persondataforordning træder i kraft 25. maj 2018, og det er en stor opgave at få gjort it-setuppet i organisationerne klar. Få overblik over regler og konsekvenser for it-afdelingen og virksomhedens it-ansvarlige, samt indblik i en stribe teknologier, der kan hjælpe til at efterleve kravene.

01. marts 2017 | Læs mere


Bliv klar til EU's persondataforordning: It-opgaver, ansvar og teknologiske muligheder

EU's persondataforordning træder i kraft 25. maj 2018, og det er en stor opgave at få gjort it-setuppet i organisationerne klar. Få overblik over regler og konsekvenser for it-afdelingen og virksomhedens it-ansvarlige, samt indblik i en stribe teknologier, der kan hjælpe til at efterleve kravene.

08. marts 2017 | Læs mere





CIO
It-chef i dybet: "Hele vores it-infrastruktur er jo bygget op fra bunden, og alt - inklusive mig selv - forsvinder jo, når vi er færdige i 2018"
Interview: Martin Lauritsen er it-chef på Metro-byggeriet i København, hvor han skal holde internettet i gang og industrispioner ude af 22 byggepladser i hovedstaden. Det er noget af en opgave.
Comon
Sådan installerer du Googles bil-system, Android Auto, på din smartphone
Android Auto har indtil nu krævet en bil med indbygget computer med touchskærm for at kunne fungere. Nu kan du installere systemet på din Android-telefon og benytte den som bil-computer og navigations-system. Se her, hvordan du gør.
Channelworld
Tidligere Atea-boss Claus Hougesen er færdig som direktør i 3A-it: Her er årsagen
Claus Hougesen er stoppet som administrerende direktør for 3A-it og har i stedet overladt posten til Preben Jensen, der ligeledes har en fortid hos Atea.
White paper
Mobility - her er de aktuelle udfordringer
Hvad med sikkerheden? Mobility-bølgen fejer igennem danske virksomheder, og der er masser af muligheder og faldgruber. Sikkerheden halter, men det kan der gøres noget ved. Produceret af Computerworld.dk i oktober 2014.