Con un intervento pubblicato su Twitter, il team di sviluppo di LinkedIn ha confermato di essere al lavoro per svolgere tutte le indagini sull’accaduto e, soprattutto, per stabilire le cause dell’incidente.
Ha fatto immediatamente il giro del mondo la notizia di un possibile
trafugamento di ben 6,5 milioni di password relativi ad altrettanti
account LinkedIn. Il popolarissimo social network oggi
impiegato per costruire reti di contatti di tipo professionale potrebbe
essere stato oggetto di un’aggressione informatica che, al momento, non
viene né confermata né smentita. Con un intervento pubblicato su
Twitter, il team di sviluppo di LinkedIn ha confermato
di essere al lavoro per svolgere tutte le indagini sull’accaduto e,
soprattutto, per stabilire le cause dell’incidente. “Non siamo ancora di confermare la presenza di alcuna falla di sicurezza nei nostri sistemi“, hanno aggiunto i tecnici del social network.
L’immensa mole di credenziali è stata pubblicata da un utente anonimo su un forum russo. L’aggressore afferma di aver violato i server di LinkedIn
e di aver carpito una serie di informazioni personali. Come prova della
sua “scorribanda”, l’hacker – per adesso ci sentiamo di battezzarlo
come tale – si è limitato a rendere pubbliche solamente le password
appartenenti a 6,5 milioni di utenti. Tali parole chiave, tuttavia, non
sono abbinate ad alcun nome utente e non sono esposte in chiaro. Le
password, infatti, sono state pubblicate in Rete solo nella loro forma
crittografata, cifrate – quindi – utilizzando l’algoritmo di hashing SHA-1.
SHA-1 produce, a partire da un qualunque testo (quindi, anche una
password), una sua versione crittografata. La sicurezza di un algoritmo
di hash, qual è SHA-1, deriva dal fatto che la funzione che s’incarica
di trasformare il testo in chiaro in una sua versione cifrata non sia
invertibile. In linea di principio non è possibile ritornare, dalla
versione cifrata al testo in chiaro.
Nel caso delle password che
sarebbero state trafugate da LinkedIn, non è possibile – almeno in linea
teorica – risalire alla parola chiave di partenza.
Sfortunatamente, però, le prime analisi hanno evidenziato come le password SHA-1 siano “unsalted” ossia non sono state generate includendo acnhe dei bit casuali come input. L’impiego di un salt
rende più difficoltosi gli attacchi basati sull’uso di dizionari e,
stando a quanto affermato da alcuni esperti, le password di provenienza
LinkedIn potrebbero essere aggredite facilmente usando le cosiddette rainbow tables.
Al
momento non è dato sapere se la pubblicazione delle password possa
essere una “bufala” o meno. Tuttavia, alcuni utenti di LinkedIn
affermano di aver trovato sul web gli hash delle proprie credenziali
usate sul social network.
Il consiglio, qualora si fosse iscritti a LinkedIn, è quello di cambiare quanto prima – per maggior sicurezza – la password associata al proprio account.
