LinkedIn heeft deze week flink meer bezoek gekregen dan normaal. Allemaal gebruikers die in allerijl hun wachtwoord wilden aanpassen. Omdat LinkedIn flinke fouten heeft gemaakt. 5 stuks op rij.

  • Ongezouten
    Een echte basisfout is het niet salten van de versleutelde wachtwoorden die het opslaat. Daardoor zijn die gecodeerde log-ins (zogeheten hashes) veel makkelijker te kraken.

  • Slappe sleutel
    Een fout vóór het ontbreken van salting, is het gebruik van het relatief zwakke SHA1 voor de eenrichtingsversleuteling die hashing is. Die hashingfunctie stamt uit de ict-oertijd van 1995, en heeft sinds het antieke 2005 al zwakheden. 
  • Plain-text agendaplundering
    Een fout beperkt tot de eigen app voor iOS en Android. De in de app verwerkte mogelijkheid om aan te haken op de agenda van smartphone (of tablet) verzamelt alle afspraken voor de komende werkweek, compleet met namen, mailadressen en notities. Die data gaat onversleuteld naar LinkedIn. Daardoor heeft ook elke WiFi-sniffer toegang tot deze privégegevens.

  • Geen simpele checks
    Terug naar het uitlekken van miljoenen wachtwoorden. LinkedIn kon geen simpele check bieden aan eindgebruikers én zelf geen snelle check uitvoeren. LinkedIn heeft er flink de tijd voor genomen om het lek überhaupt te bevestigen. 

  • Incomplete blokkade
    LinkedIn heeft na de bevestiging de accounts van de getroffen klanten te geblokkeert althans dat blogt het in een tweede bericht over de affaire. Op sociale media zijn vele meldingen opgedoken van getroffen, maar niet geblokkeerde LinkedIn-gebruikers. Zij hebben de hash voor hun eigen wachtwoord aangemaakt en dat opgezocht in de uitgelekte lijst van 6,5 miljoen stuks. 

Alles bij de bron; webwereld