LinkedIn, milioni di password trafugate
Il social network dei contatti professionali incappa in un nuovo scivolone: sei milioni e mezzo di password sarebbero state pubblicate su un forum di hacker russi. La compagnia conferma la compromissione, ma non ufficializza alcun numero
di Andrea Bai pubblicata il 07 Giugno 2012, alle 10:37 nel canale SicurezzaNel corso della giornata di ieri è emerso un nuovo grattacapo per LinkedIn sul tema della sicurezza, con il sito norvegese Dagens IT che ha riportato che circa sei milioni e mezzo di password del social network sarebbero state pubblicate su un forum di hacker russi.
Le password sono cifrate, ma in un formato facilmente violabile: LinkedIn infatti effettua la cifratura delle password mediante "hashing", cioè utilizzando un algoritmo che trasforma un qualsiasi blocco di dati in una stringa a dimensione fissa. Cambiando i dati cambia, ovviamente, anche il valore di hash. Il problema con questo sistema è che due password identiche saranno cifrate alla stessa maniera. Gli esperti di sicurezza hanno più volte criticato LinkedIn per non adottare anche la pratica del "salting" cioè l'aggiunta di frammenti di dati randomici nel processo di cifratura.
La società ha prima preso tempo per indagare sul problema e ha poi informato i propri utenti dell'accaduto tramite un intervento sul proprio blog ufficiale. LinkedIn ha confermato la compromissione di alcune password (non ha però comunicato numeri ufficiali) e ha avvertito gli utenti toccati dal problema via email inviando la procedura per il reset della password. La società invierà una seconda email agli utenti per informarli sull'accaduto.
Nell'intervento sul blog si legge inoltre che la società ha recentemente adottato anche il salting delle password, per cercare di incrementare il livello di sicurezza dei dati degli utenti.
Sono giorni piuttosto intensi per il social network dei contatti professionali: nel corso della giornata di ieri è infatti circolata la notizia di un probelma dell'app per iOS e della sincronizzazione con il calendario con possibili implicazioni per la privacy dell'utente. Anche in questo caso LinkedIn ha preso una posizione ufficiale tramite il proprio blog, informando gli utenti che la funzionalità dell'applicazione sarà modificata per evitare che i dati sensibili legati ad una voce del calendario vengano sincronizzati con l'applicazione.
_L.jpg)
Nothing Ear e Ear (a): gli auricolari per tutti i gusti! La ''doppia'' recensione
Sony FE 16-25mm F2.8 G: meno zoom, più luce 
Motorola edge 50 Pro: design e display al top, meno il prezzo! Recensione
SYNLAB sotto attacco: sospesa l'attività presso i punti prelievo e non solo
BYD Seal U, primo contatto. Specifiche, design e prezzo, questa elettrica ha tutto al posto giusto
Intel ha completato l'assemblaggio dello scanner High-NA EUV: fondamentale per il processo 14A
Cina: aumenta del 40% la produzione di chip, le sanzioni statunitensi stanno diventando controproducenti
GPT-4 quasi come un oculista: in un test l'IA ottiene risultati simili agli specialisti 
Prezzi super per gli Apple Watch SE di seconda generazione: eccoli a partire da 239€
L'intelligenza artificiale ruba posti di lavoro? Ora hanno paura anche i CEO (ma intanto la usano per prendere decisioni)
The Witcher 3: disponibile su Steam il REDkit, lo strumento ufficiale per la creazione delle mod
Xiaomi 15: trapelano importanti specifiche del futuro flagship. Ecco la scheda tecnica
Fallout 5? Meglio aspettare la seconda stagione della serie TV Amazon, arriverà prima!
Motorola Edge 50 Pro è ora disponibile su Amazon: è stupendo e costa molto meno del prezzo ufficiale di 699€
La tecnologia digitale sta trasformando la medicina di base in Italia. MioDottore ne è l'esempio
ASUSTOR presenta ADM 4.3 con nuove funzionalità per le cartelle WORM
S8 MaxV Ultra e Qrevo Pro: i nuovi aspirapolvere smart di Roborock arrivano in Italia. Prezzo e dettagli
_XXL.jpg)
9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infocliccando vedo un prosciuttone in vendita - che c'entra? o nn capisco la battuta o è spam
nvm - ora è broken
dubbio legittimo. Nella mia esperienza conosco due tipi di salt:
1) si aggancia alla password una stringa costante, uguale per tutti. Soluzione rapida che protegge dagli attacchi di forza bruta basati su dizionari. Ma resta il problema che password uguali avranno hash uguali. Quindi se riesco ad arraffare milioni di hash e mi accorgo che ce ne sono centinaia uguali, molto probabilmente ho appena beccato tutti gli utenti che hanno password "password" o "123456" (
2) si genera un salt diverso per tutti ma non "random", bensì basato su dati che posso recuperare e rimangono immutati, ad esempio la data d'iscrizione
Speriamo che serva di lezione a coloro che affidano la propria vita e la propria privacy nei vari social network presenti sul pianeta !
"randomici"? casuali è così brutto?
Speriamo che serva di lezione a coloro che affidano la propria vita e la propria privacy nei vari social network presenti sul pianeta !
linkedin si usa per lavoro, ora nemmeno questo va bene?
No, quello è il solito spam
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".