Bugün LinkedIn’in uğursuz günlerinden biri. iOS uygulamasının kullanıcıların gizliliğini detaylı ajanda girdilerini sunucularına göndererek ihlâl etmesi potansiyelinin açıklanmasının ardından, 6.46 milyon LinkedIn hesabı şifresi internete sızdı.
LinkedIn’i hacklediğini iddia eden Rus bir forum kullanıcısı, 6 milyon 458 bin 20 kriptolu şifreyi, kullanıcı adları olmadan, kanıt olarak siteye yükledi.
Şifreler SHA-1 kriptografik fonksiyonu ile korunuyordu, SSL ve TLS güvenlik katmanlarında kullanılan bu sistem oldukça güvenli olarak değerlendirilse de, tamamen güvenli değil. Maalesef, çalınan şifreler bir fonksiyon kullanılmasına gerek duyulmayan düğümler şeklinde depolanmış. Bu da şifrelerin önceden programlanmış gökkuşağı tabloları ile kolaylıkla deşifre edilmesine izin veriyor…
Olayı basite indirgersek, şöyle söyleyebiliriz: şifreleri çalan kişi çok ucuz kaynaklar kullanarak kısa bir zamanda tüm şifreleri çözebilir.
LinkedIn’den de bu konu hakkında çalınan şifreleri araştırdıklarına dair bir tweet geldi:
Our team is currently looking into reports of stolen passwords. Stay tuned for more.
— LinkedIn (@LinkedIn) June 6, 2012
Çalındığı iddia edilip, yayınlanan şifrelerin gerçek olmama ihtimali olduğu gibi, bazı Twitter haberleri buna gerçeklik payı veriyor, tıpkı LinkedIn’in hesabından atılan tweet gibi.
Fin güvenlik firması Cert-Fi’den gelen bir uyarı da, şifreleri çalan kişinin muhtemelen kullanıcı adlarına da sahip olduğu yönünde.
Kısacası, eğer bir LinkedIn kullanıcısıysanız, şifrenizi derhal değiştirin. Hatta aynı şifreyi başka servislerde kullanıyorsanız, her ihtimale karşı o şifreleri de değiştirin, ne olur, ne olmaz!
