Социальная сеть LinkedIn подтвердила информацию о компрометации паролей 6,5 млн пользователей ресурсом. Файл с данными появился в общем доступе 5 июня на российском хакерском портале Insidepro.com, специализирующемся на поиске способов восстановления паролей через хэш. Хакер заявил, что ему также известны и имена «жертв», однако разглашать их он не собирается.

Николай Федотов, главный аналитик InfoWatch считает, что сам факт не слишком взволновал айтишную общественность, хотя новость о ней разлетелась мгновенно. Специалисты знают, что монетизировать линкединовский аккаунт невозможно, соответственно, на чёрном рынке этот товар не купят. Поэтому айтишники нынче ночью не торопились бежать и менять свои пароли, а скачивали себе утекшую базу, рассматривали её, пробовали брутфорс и перебор по словарям, степенно обсуждали стойкость хешей и возможности их массового обращения.

«Наибольшее возмущение общественности вызвал тот факт, - продолжает Федотов. - Что пароли этой "соцсети профессионалов" хешировались не профессионально - т.е. без использования соли (добавки к хешируемому значению). С солью обратить хеш-функцию было бы немного труднее. А ресурсов это почти не занимает.

Данное упущение, согласно общему мнению, не делает чести разработчикам системы, Скорее всего, что и инцидент произошел из-за подобной недоработки, а не в результате направленных или неосторожных действий сотрудников соцсети. Для нас, разработчиков DLP-систем, это разница принципиальна».

Николай добавил, что в аналитическом отчете компании InfoWatch, очередной выход которого запланирован на июль месяц, этот случай учитываться не будет.