Paswoorddiefstal bij LinkedIn: Wat ging er fout?

LinkedIn kende vorige week enkele dramatische momenten. Niet alleen lagen de iOS-apps van LinkedIn onder vuur als gevolg van privacy-issues, er raakte ook bekend dat zo’n 6,5 miljoen paswoorden van LinkedIn gebruikers werden gehackt. De paswoorden werden vervolgens gepubliceerd op een Russisch forum. Meteen nadat het bericht verscheen op het forum, werd er aan de echtheid getwijfeld. 6,5 miljoen paswoorden is natuurlijk niet niks, maar al snel werd door verschillende beveiligingsexperten bevestigd dat de paswoorden wel degelijk echt waren.

Het ging daarbij niet om losse wachtwoorden maar wel de gehashede versies. Deze zijn gecodeerd met SHA-1, maar met de nodige kennis en de juiste tools is ook dit niet zo moeilijk om te kraken. De kans dat je paswoord al dan niet gekraakt werd, hing in dit geval vooral af van de complexiteit van je paswoord.

Zwakke paswoorden bij gebruikers

En daar durft het wel eens misgaan bij gebruikers. Ondertussen is immers een lijst verspreid met de dertig meest populaire LinkedIn-paswoorden die gehackt en al gedecodeerd zijn. Uit die lijst blijkt dat de meest gebruikte paswoorden in LinkedIn niet bepaald uitblinken in creativiteit.

Het meest populaire paswoord is Link. Andere populaire paswoorden in de top 10 zijn onder andere 1234, work, god en job. Niet alleen staan er weinig inspirerende paswoorden in de lijst, vele gebruikers hebben ook een scheldwoord als paswoord. Niet alleen een zwak paswoord, het kan ook heel gênant zijn indien dit paswoord publiek gemaakt wordt.

Ondanks het feit dat het niet de fout van de gebruiker is dat het paswoord werd gehackt, kan je als gebruiker er wel voor zorgen dat hackers heel wat moeilijkheden ondervinden om je paswoord te ontcijferen. Zorg er dus voor dat je steeds een complex paswoord hebt, en geen zwak paswoord, dat makkelijk te ontcijferen valt door hackers.

Maatregelen bij LinkedIn

Na het bekend raken van het lek kreeg LinkedIn heel wat kritiek te slikken omdat het sociale netwerk te traag zou gereageerd hebben, en niet snel genoeg gecommuniceerd hebben naar gebruikers toe. LinkedIn heeft ondertussen echter meer details bekend gemaakt over het lek. LinkedIn zegt eerst gekeken te hebben of de gelekte paswoorden wel degelijk afkomstig waren van LinkedIn gebruikers. Na de bevestiging hiervan werd het risico voor de gebruikers in kaart gebracht. Van gebruikers met een gelekt en gekraakt paswoord werd de account gedeactiveerd.

Niet enkel bij LinkedIn zelf wordt de oorzaak naar de diefstal van de wachtwoorden onderzocht. Ook de FBI heeft zich op de zaak gestort. In een blogpost zegt LinkedIn dat het nauw samenwerkt met de FBI. Tegelijk deelt LinkedIn ook mee dat enkel gecodeerde wachtwoorden zijn gepubliceerd, en niet de e-maillogins.

Het sociale netwerk zegt tot slot dat het tot nu toe nog geen weet heeft van accounts die misbruikt zijn als gevolg van de gestolen paswoorden. Niettemin raadt het bedrijf wel aan om toch je wachtwoord te vervangen. Hier zijn enkele adviesregels die LinkedIn zelf aanreikt:

  • Verander zeker elke paar maanden je wachtwoord, niet alleen op LinkedIn, maar ook op andere sites die je bezoekt op het internet.
  • Gebruik zeker niet hetzelfde paswoord voor elke site die je bezoekt, gebruik telkens een ander paswoord.
  • Maak een sterk paswoord aan, met verschillende letters, cijfers en speciale tekens. Trek lessen uit de lijst van 30 populaire paswoorden die gelekt zijn!
  • Wees waakzaam voor phishing e-mails en spam die je vragen om gevoelige en persoonlijke informatie door te geven.
Executive Summary

Gelekte paswoorden bij LinkedIn
6,5 miljoen paswoorden van LinkedIn-gebruikers werden gehackt en gelekt op een Russisch forum
Onderzoek door LinkedIn en FBI
Niet alleen LinkedIn zelf onderzoekt wat er fout ging, ook de FBI is actief op zoek naar de daders van de diefstal.

1 Comment




    Leave a Reply

    Your email address will not be published. Required fields are marked *