Um hack do LinkedIn de 2012 ainda está causando problemas para seus usuários. A empresa anunciou esta manhã que um novo conjunto de dados do hack, que contém mais de 100 milhões de e-mails e senhas de membros do LinkedIn, foi liberado. Em resposta a esse novo vazamento de dados, o LinkedIn afirma que está trabalhando para validar as contas e contatar os usuários afetados para que possam redefinir suas senhas no site.
Como você pode ou não se lembrar, dado o tempo que passou, hackers invadiram a rede do LinkedIn em 2012, roubaram cerca de 6,5 milhões de senhas criptografadas e as postaram em um fórum de hackers russo. Como as senhas foram armazenadas como hashes SHA-1 sem sal, centenas de milhares foram rapidamente quebradas.
Agora, de acordo com um novo relatório da Motherboard, um hacker que se apresenta pelo nome de "Peace" está tentando vender os e-mails e senhas de 117 milhões de membros do LinkedIn em um mercado ilegal da dark web por cerca de $2.200, pagáveis em bitcoin. No total, o conjunto de dados inclui 167 milhões de contas, mas dessas, apenas cerca de 117 milhões têm tanto e-mails quanto senhas criptografadas.
Como esse conjunto de dados também se origina do hack de 2012, essas senhas estão criptografadas da mesma forma – "sem sal" – o que significa que são mais facilmente quebradas. De fato, a Motherboard afirma que 90% das senhas foram quebradas em 72 horas. Vários dos vítimas ainda estavam usando a mesma senha de 2012, segundo o relatório.
Se os usuários atuais do LinkedIn devem ou não se preocupar depende de alguns fatores: você tinha uma conta durante o período da violação de 2012, você mudou sua senha desde então e essa senha foi reutilizada em outros sites?
Se você não tem certeza, uma boa prática seria mudá-la de qualquer forma, assim como em outros sites críticos onde você pode estar usando a mesma senha, como seu site bancário, e-mail ou Facebook, por exemplo.
O LinkedIn afirma que aumentou suas medidas de segurança nos anos desde a violação, introduzindo criptografia mais forte, desafios por e-mail e autenticação de dois fatores. Mas esse hack foi de uma era anterior, antes que essas proteções estivessem em vigor. Elas também não protegeriam necessariamente os usuários de hackers que obtiveram combinações de e-mail e senha.
O texto completo da declaração do LinkedIn está abaixo:
Em 2012, o LinkedIn foi vítima de acesso não autorizado e divulgação de algumas senhas de membros. Na época, nossa resposta imediata incluiu uma redefinição obrigatória de senha para todas as contas que acreditávamos ter sido comprometidas como resultado da divulgação não autorizada. Além disso, aconselhamos todos os membros do LinkedIn a mudarem suas senhas como uma questão de boa prática.
Ontem, tomamos conhecimento de um conjunto adicional de dados que havia sido liberado, que afirma ser combinações de e-mails e senhas hash de mais de 100 milhões de membros do LinkedIn daquele mesmo roubo em 2012. Estamos tomando medidas imediatas para invalidar as senhas das contas impactadas e entraremos em contato com esses membros para redefinir suas senhas. Não temos indicação de que isso seja resultado de uma nova violação de segurança.
Levamos a segurança das contas de nossos membros a sério. Há vários anos, temos criptografado e salgado cada senha em nosso banco de dados, e oferecemos ferramentas de proteção, como desafios por e-mail e autenticação de dois fatores. Incentivamos nossos membros a visitar nosso centro de segurança para aprender sobre como habilitar a verificação em duas etapas e usar senhas fortes para manter suas contas o mais seguras possível.