ESET biztonsági tanácsok a LinkedIn hacker-támadása kapcsán

Mint ismeretes, a napokban nagyszabású támadás áldozatává vált a LinkedIn portál. A hírek szerint 6.5 millió felhasználó adata került illetéktelen kezekbe. Június 6-án már egyértelművé vált az is, hogy az ellopott jelszavak orosz weboldalakon, fórumokon jelentek meg. A LinkedIn nem nyilatkozott egyértelműen, ezért elképzelhető, hogy amennyiben a támadóknak sikerült a jelszavakhoz hozzáférniük, akkor a tulajdonosok e-mail címeivel is rendelkeznek.

A LinkedIn közösségi oldal, leginkább az üzleti kapcsolatok fentartására szolgál, ebben  különbözik az olyan közösségi oldalaktól, mint a Facebook vagy az iWiW, melyek leginkább a hétköznapi kapcsolattartást segítik elő. További fontos különbség, hogy a Facebook-on tetszőleges kitöltött vagy éppen üresen hagyott személyes mezőkkel rendelkezünk, illetve adatvédelmi beállításainktól függően publikusak adataink, ezzel szemben a LinkedIn profilok kifejezetten a karrierrel kapcsolatos hírek, szakmai tervek, információk terepe, ezen a felületen mindenki valódi névvel, valós információkat szolgáltat magáról, és üzleti kapcsolatairól.

– A veszély így jóval nagyobb, emiatt is javasolják az ESET szakemberei, hogy a hazai felhasználók is ellenőrizzék és változtassák meg a belépési adataikat, hiszen a Zoomsphere legfrissebb adatai szerint Magyarországról már legalább 230 ezren használják a LinkedIn közösségi weboldalt (http://www.zoomsphere.com/charts/linkedin/countries/hu) – figyelmeztet Béres Péter, az ESET termékeit Magyarországon képviselő Sicontact Kft. vezető IT tanácsadója.

A weboldal üzemeltetői nem csak abban hibáztak, hogy a jelszólopási incidens egyáltalán megtörténhetett, hanem – mint később kiderült – a jelszavak kódolt tárolásánál is: az úgynevezett SHA-1 algoritmust szimplán használva nem támaszkodtak olyan megbízható kiegészítő technikákra, mint például a feltöréseknek jóval ellenállóbb úgynevezett Salted eljárás, amely segít megnövelni a jelszó hash hosszát, és egyúttal a bonyolultságát is. Ezt a módszert kimondottan jelszavak tárolásánál alkalmazzák, éppen annak megnehezítésére, hogy az összes felhasználó jelszavát túl könnyen és gyorsan feltörjék. Az üzemeltetők egyébként az FBI segítségét kérték a biztonsági incidens alapos és részletes kivizsgáláshoz. Mindenesetre az eset komoly következményekkel járhat, így a LinkedIn-nek minden erőfeszítésére szükség lesz, hogy helyreállítsák befektetőik, hirdetőik, és nem utolsósorban felhasználóik beléjük vetett bizalmát.

Gyakorlati tanácsok az érintetteknek

Először is nagyon fontos, hogy  jelszavukat haladéktalanul változtassák meg. A kellően erős jelszó egyedi (azaz sehol máshol nem használjuk), hosszú (magyarul 10-12 karakternél nem rövidebb), változatos (egyaránt tartalmaz kis- és nagybetűket, számokat, valamint speciális írásjeleket is, például -+'”+!%/=_<>#&();?.÷-_karaktereket), és nem kitalálható személyes információinkból (nem kutyánk, családtagunk neve, nem közösségi oldalról bárki által leolvasható születési dátumunk, hanem lehetőleg véletlenszerűen generált, például paiK#debt=maRry88). A jelszavakkal kapcsolatos tudnivalókról itt olvashatnak bővebben: http://pcworld.hu/a-virusok-varazslatos-vilaga-36-egy-a-jelszonk-a-beke123-20100903.html

A LinkedIn account mellett azoknak, akik esetleg éppen az ott használt e-mail levelezési fiókjuknál, vagy bárhol máshol mégis ugyanezt a jelszót használták, úgy ott azokon a helyeken is érdemes haladéktalanul a jelszóváltoztatást végrehajtani, hiszen az is gyakori forgatókönyv, hogy a megszerzett jelszó birtokában a támadók, a tulajdonos minden ismert levelezési, közösségi oldali, és egyéb fiókját végigpróbálgatják, hátha azonos jelszóval használta.

Érdemes a későbbiekben arra is figyelni, hogy minden rendkívüli esemény: árvíz, földrengés, sportesemény, híresség halála, esküvője, stb. nyomán kéretlen üzeneteket küldenek ki a támadók, és a levélben mellékelt linkekre való kattintással adatokat lopnak, kémprogramot telepítenek a gyanútlan felhasználók gépeire. Cameron Camp, az ESET észak-amerikai központjának biztonsági kutatója szerint ennek az incidensnek a nyomán máris elindultak azok az átverési spamkampányok, amelyben a csalók látszólag a LinkedIn üzemeltetőinek nevében írnak levelet nekünk, hogy erősítsük meg egy mellékelt linkre kattintva az e-mail címünket. Ilyenkor nem szabad bedőlni, ne kattintson senki, hiszen az ESET labor által vizsgált levelek esetében is jól látható volt, hogy az állítólagos hivatalos értesítő levélben nem a LinkedIn-re, hanem egy teljesen más, idegen webhelyre mutat a bizonyos link.

http://blog.eset.com/2012/06/06/linkedin-security-woes-and-what-to-do-about-it