C’è un sistema semplice per scoprire se la tua password sia stata o meno trafugata dai server LinkedIn: grazie al lavoro di Chris Shiflett è possibile analizzare con un click il database pubblicato sul forum russo per verificare se il proprio account possa o meno essere a rischio.
Il servizio prende il nome di LeakedIn, con un sagace gioco di parole utile a mappare le versioni “hash” delle password per verificarne l’eventuale presenza sul database da 6,5 milioni di unità di cui LinkedIn ha già confermato la bontà. Inserendo la propria password all’interno del modulo di ricerca è possibile avere una risposta certa circa il furto o meno della propria password: un messaggio su fondo verde sarà una rassicurazione, un messaggio su fondo rosso sarà invece il monito che impone specifica attenzione.
Le password trafugate non sono abbinate a nome utente o email, il che evita potenzialmente possibili rischi immediati. Tuttavia una mappatura delle email potrebbe consentire ai malintenzionati di arrivare ad un abbinamento che metterebbe in diretto pericolo l’account. Per questo motivo occorre prestare attenzione al problema con alcune accortezze:
- verificare l’eventuale violazione del proprio account LinkedIn tramite LeakedIn e, qualunque sia la risposta ottenuta, modificare comunque la propria password per scrupolo e per sicurezza;
- modificare la password su ogni altro sito sul quale ci si fosse registrati utilizzando medesime credenziali;
- evitare il click su qualsivoglia link su presunte email provenienti da LinkedIn: il gruppo sta sì inviando notifiche agli utenti colpiti, ma non include nella mail alcun link. La presenza di un link è pertanto sintomo di un tentativo di phishing già segnalato e descritto.