LinkedIn conferma: nella giornata di ieri oltre 6.5 milioni di account sono risultati compromessi grazie al lavoro svolto da un non meglio identificato cracker che ha pubblicato su di un forum russo il materiale raccolto sul social network professionale. A distanza di ore non è ancora possibile conoscere l’esatta natura dell’attacco né le caratteristiche della vulnerabilità sfruttata, ma in attesa dei dettagli è questo il momento della prevenzione e delle rassicurazioni.
Circa il 5% degli account sarebbe potenzialmente a rischio ed i gestori del servizio invitano alla massima cautela, consigliando una celere modifica alla propria password, soprattutto qualora il proprio profilo rientri nell’elenco di quelli coinvolti.
Update: verifica se la tua password è stata rubata!
Vicente Silveira, responsabile del settore ingegneristico di LinkedIn, in un post sul blog ufficiale dell’azienda ha infatti sottolineato come quest’ultima abbia potuto verificare che tra le password pubblicate online ve ne siano svariate collegate ad account realmente esistenti. I proprietari di tali account, sospesi momentaneamente fin quando non verrà modificata la password di accesso, riceveranno apposita notifica via email: tale messaggio di posta elettronica, spiega Silveira, non conterrà alcun link, bensì esclusivamente le istruzioni da seguire per ricevere un nuovo messaggio contenente l’indirizzo della pagina attraverso la quale è possibile aggiornare la propria password.
Dopo aver cambiato la password, quindi, gli utenti coinvolti riceveranno un ulteriore email contenente il punto della situazione e le motivazioni precise che hanno spinto la società a suggerire tale modifica. Silveira, inoltre, suggerisce a tutti gli utenti di provvedere alla modifica della propria password non appena possibile: così facendo, infatti, è possibile usufruire dei nuovi sistemi di protezione adottati dal social network, basati su nuove tecniche di hashing del database relativo alle credenziali di accesso dei propri iscritti. Il cambio della password va inoltre a depotenziare il materiale in mano al cracker, mettendo al sicuro il proprio account da ogni qualsivoglia possibile incursione esterna.
Il tutto al momento non sembra rappresentare un problema particolarmente pericoloso per gli utenti, in quanto online sarebbero finite esclusivamente le password sottratte dai cracker (protette da crittografia con algoritmo SHA-1) e non i relativi username. La cautela, però, in questi casi non è mai troppa e lo staff di LinkedIn invita a modificare non solo la chiave d’accesso al social network, ma anche quella di tutti i servizi per i quali si è utilizzata fino ad oggi la stessa password.