Según varias fuentes, una lista de contraseña de Linkedin hashedas con SHA1 (sin SALT) han sido publicadas en un foro ruso. Esta lista, que no se ha confirmado si es de la red social, contiene alrededor de 6,46 millones de registros y se habría subido a un foro de Rusia a principios de esta semana.
Un experto consultado dice que hay indicios de que las contraseñas podrían ser de la empresa. La historia apareció el miércoles enDangens TI y de acuerdo a varias personas que han trabajado con la lista, unas 300.000 contraseñas ya han sido crackeadas y un examen de los hashes que ha sido publicados en foros InsidePro, muestra que las claves utilizan “LinkedIn” de alguna manera.
Vale la pena repetir que, aparte de esto, no hay pruebas para confirmar que la red social haya sufrido algún tipo de incidente de seguridad. Hasta el momento sólo se han publicado los hashes de las contraseñas, sin nombres de usuario, pero se desconoce si los autores de la lista simplemente eliminaron los nombres de usuario al publicar la lista o si no los tienen.
Hasta el momento Linkedin no ha confirmado los datos y dice que se encuentra investigando el caso.
Algunas preguntas que se podrían hacer: ¿por qué Linkedin todavía usa SHA1? ¿por qué usa SHA1 sin saltear? ¿para qué cambiar la contraseña si quizás existe una brecha y los delincuentes podrían robar la base de datos de nuevo? ¿cuánto falta para que comience a llegar spam con falsos anuncios de Linkedin?
Recomendación: por ahora cambie su contraseña de Linkedin y en todos los lugares donde use la misma.
Cristian de la Redacción de Segu-Info
Creative Commons Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5