Социальная бизнес-сеть LinkedIn признала, что 6,5 утекших хеш-значений паролей действительно относятся к аккаунтам сети, но как они попали к злоумышленникам, остаётся пока загадкой. На этот счёт никаких комментариев со стороны самой компании не поступало.

Как выяснилось, LinkedIn – не единственная жертва взлома: вчера сервис знакомств eHarmony объявил, что “небольшая” часть паролей к его аккаунтам также оказалась в руках злоумышленников. По сведениям Ars Technica, с eHarmony утекло порядка 1,5 млн хеш-значений по алгоритму MD5. Пароли к LinkedIn представляют собой хеши SHA-1.

LinkedIn сраз объявил, что всем пользователям, чьи пароли, по предположению самих администраторов сети, могли достаться взломщикам, будут разосланы соответствующие уведомления и инструкции по смене паролей.

В свою очередь специалисты по безопасности критикуют “служебное нерадение” программистов LinkedIn, допустивших, чтобы пользовательские пароли хранились в виде “простых” хеш-значений, без дополнительного шифрования.

Когда пользователь регистрируется на сайте и вводит свой пароль, система вычисляет для него хеш-функцию, преобразуя последовательность символов, введённую пользователем, в конкретное число. Когда пользователь в следующий раз вводит пароль, система снова вычисляет хеш-значение и сопоставляет его с тем, что хранится в базе данных. Если совпадение есть, пользователь допускается на ресурс. Следует иметь в виду, что разным паролям может соответствовать один и тот же хеш, и, в принципе, подобрать подходящий пароль, по словарю или каким-то иным образом, – дело техники. Чем, собственно, злоумышленники сейчас, судя по всему, и занимаются.

Хотя объёмы утечек что у LinkedIn, что у eHarmony невелики, на репутации компаний они скажутся не лучшим образом.