Gaia Bottà

LinkedIn, password dal passato

Il dark web rigurgita dati di 167 milioni di account del social network. Si tratta degli strascichi di una breccia subita nel 2012

Roma - 167.370.910 account, 117 milioni dei quali sono associati a password sotto forma di hash calcolati con il dibattuto standard SHA-1: sono in vendita sul dark web per 5 BTC, poco meno di 2mila euro, e la loro origine è da ricondurre all'attacco subito nel 2012 dal social network professionale.



Quattro anni fa erano già circolati i dati di 6 milioni di questi account, frutto di una breccia che aveva impensierito LinkedIn anche dal punto di vista legale. Parte degli utenti vittime della fuga di dati avevano sporto denuncia e il social network aveva negoziato un risarcimento da 1,25 milioni di dollari, per un massimo di 50 dollari a testa, con la promessa di irrobustire le misure di sicurezza. LinkedIn ha provveduto, ma ora il passato torna a bussare alla sua porta: l'attacco era evidentemente più esteso di quanto si ritenesse.

Password ricorrenti LinkedIn, dati LeakedSourceI responsabili del social network sono intervenuti per confermare l'origine dei dati e per imporre un cambio di password, nonostante non sia ancora chiaro quanti e quali degli account siano ancora attivi con le credenziali incluse nel database in mano ai cracker. Una soluzione che non può che giovare a coloro che, almeno nel 2012, affidavano la propria sicurezza a chiavi d'accesso banali e facilmente intuibili: secondo il sito LeakedSource, che si è accaparrato l'accesso ai dati e lo offre in cambio di pagamento, 2,2 milioni di account sono rappresentati dalle 50 password più ricorrenti nel dump. Il resto delle password, protette con il semplice hashing a mezzo SHA-1, sarebbero in ogni caso facilmente accessibili.
LinkedIn, oltre ad aver avviato il monitoraggio per rilevare eventuali attività sospette sugli account coinvolti, raccomanda ai propri utenti di approfittare delle soluzioni di sicurezza messe a disposizione, come il sistema di autenticazione a doppio fattore. Ha inoltre provveduto a diffidare dalla pubblicazione coloro che detengono il database: il social network sta valutando la possibilità di intentare delle azioni legali.

Gaia Bottà
Notizie collegate
  • AttualitàLinkedIn: quanto vale una password?Si chiude la class action sollevata a seguito della fuga di credenziali avvenuta nel 2012: LinkedIn promette sicurezza e accetta di compensare gli utenti con un pugno di dollari
  • AttualitàLinkedIn, utenti all'arrembaggio legaleClass action contro il social network dopo la fuga di 6 milioni di password. La piattaforma non avrebbe protetto in maniera adeguata i dati degli iscritti. E non li avrebbe nemmeno avvisati del fattaccio
  • SicurezzaLinkedIn, dati in fugaIl social network "professionale" nei guai per la pubblicazione online di milioni di password di accesso corrispondenti ad altrettanti utenti del network. Come se non bastasse, l'app LinkedIn per iOS fruga tra i dati dei contatti
4 Commenti alla Notizia LinkedIn, password dal passato
Ordina