El martes, ‘DWDM’ pidió ayuda en un foro ruso de hackers para descifrar unos archivos que contenían contraseñas encriptadas con SHA-1. El hacker estaba pidiendo ayuda a otros hackers para tener las contraseñas originales. Ayer lograron descifrar unos 6.5 millones de contraseñas. Tal cantidad sí que ameritaba pedir ayuda.
Posteriormente, se descubrió que las contraseñas al parecer eran de usuarios de la red LinkedIn, la red de profesionales.
Aunque no se divulgaron direcciones de correo electrónico, se presume que éstas pueden estar en posesión de los atacantes. También se presume que la lista puede ser parcial, no total.
Aunque en principio se resistía a reconocer alguna brecha de seguridad en sus sistemas, finalmente LinkedIn reconoció que “algunas” de las cuentas de sus miembros habían sido expuestas y comprometidas, por lo que urgió a los miembros de la red de profesionales a cambiar sus contraseñas.
Los usuarios de las contraseñas divulgadas tienen comprometida la seguridad no sólo de la cuenta de LinkedIn sino la de los otros servicios donde utilicen la contraseña ahora ya conocida. Es recomendable que estos usuarios cambien la contraseña en LinkedIn y en todos los sitios donde la usen.
LastPass ha puesto disponible un servicio para saber si tu contraseña se encuentra en la lista de las contraseñas divulgadas.
Por cierto, el incidente ha revelado que a partir de las contraseñas divulgadas no todo es felicidad en el trabajo. Hay contraseñas como ‘hopeless’, ‘killmenow’, ‘iwishiwasdead’, ‘hatemyjob’, y ‘anyjob’. “LinkedIn” y “Password1 ‘ son las contraseñas que más se repiten.
Recientemente LinkedIn tuvo otro incidente de seguridad, relacionado con una aplicación móvil que enviaba sin cifrar a los servidores de LinkedIn, y sin el conocimiento de los usuarios, los números de teléfono y contraseñas para llamadas en conferencia.