LinkedIn, password dal passato

167.370.910 account, 117 milioni dei quali sono associati a password sotto forma di hash calcolati con il dibattuto standard SHA-1: sono in vendita sul dark web per 5 BTC, poco meno di 2mila euro, e la loro origine è da ricondurre all’ attacco subito nel 2012 dal social network professionale.

Quattro anni fa erano già circolati i dati di 6 milioni di questi account, frutto di una breccia che aveva impensierito LinkedIn anche dal punto di vista legale. Parte degli utenti vittime della fuga di dati avevano sporto denuncia e il social network aveva negoziato un risarcimento da 1,25 milioni di dollari, per un massimo di 50 dollari a testa, con la promessa di irrobustire le misure di sicurezza. LinkedIn ha provveduto, ma ora il passato torna a bussare alla sua porta: l’attacco era evidentemente più esteso di quanto si ritenesse .

I responsabili del social network sono intervenuti per confermare l’origine dei dati e per imporre un cambio di password, nonostante non sia ancora chiaro quanti e quali degli account siano ancora attivi con le credenziali incluse nel database in mano ai cracker. Una soluzione che non può che giovare a coloro che, almeno nel 2012, affidavano la propria sicurezza a chiavi d’accesso banali e facilmente intuibili: secondo il sito LeakedSource , che si è accaparrato l’accesso ai dati e lo offre in cambio di pagamento, 2,2 milioni di account sono rappresentati dalle 50 password più ricorrenti nel dump. Il resto delle password, protette con il semplice hashing a mezzo SHA-1 , sarebbero in ogni caso facilmente accessibili .

LinkedIn, oltre ad aver avviato il monitoraggio per rilevare eventuali attività sospette sugli account coinvolti, raccomanda ai propri utenti di approfittare delle soluzioni di sicurezza messe a disposizione, come il sistema di autenticazione a doppio fattore. Ha inoltre provveduto a diffidare dalla pubblicazione coloro che detengono il database: il social network sta valutando la possibilità di intentare delle azioni legali.

Gaia Bottà