Aggiornamento 2: LinkedIn conferma il furto di password.
Un utente ha pubblicato su un forum russo una forte minaccia per la credibilità di LinkedIn: il file portato online conterrebbe infatti 6,5 milioni di password estrapolate direttamente dai server del social network professionale, facendo così teoricamente propri 6,5 milioni di account attivi.
La veridicità del documento è ancora tutta da confermare, ma l’ipotesi appare verosimile sulla base di alcuni indizi raccolti tra le password elencate. LinkedIn al momento non ha ancora fornito spiegazioni né conferme, ma ha comunicato di aver preso visione del problema e di voler diramare aggiornamenti sulla situazione non appena possibile e non appena in possesso di informazioni certe su quanto accaduto.
Le password sarebbero protette da crittografia con algoritmo SHA-1, il che dovrebbe mettere la maggior parte degli account al sicuro. Non per tutti sarà però così, il che determina una situazione di rischio potenziale che ha spinto Graham Cluley, esperto di sicurezza Sophos, a consigliare a tutti, indiscriminatamente, il cambio della propria password sul social network.
Per effettuare tale operazione è sufficiente un login sul proprio account, un click su “impostazioni” sotto il proprio nome in alto a destra e quindi un ultimo click su “cambia” in relazione al campo “password”.
Il problema di sicurezza in casa LinkedIn giunge a distanza di poche ore dalla scoperta di alcune informazioni in chiaro che il social network recupera dall’utenza utilizzante l’applicazione dedicata per iOS: la comunione delle due situazioni costringerà il gruppo ad una chiara presa di posizione per spiegare sia l’una che l’altra falla. Problemi di questo tipo rischiano infatti di mettere in discussione l’immagine e la credibilità dell’intero social network, il che impedisce di temporeggiare ed impone reazioni immediate a garanzia della sicurezza e della bontà del sistema messo al servizio degli utenti.
Update 1
LinkedIn spiega di essere ancora al lavoro per approfondire la questione e di non essere ancora in grado di confermare qualsivoglia eventuale vulnerabilità nei propri sistemi.
Our team continues to investigate, but at this time, we’re still unable to confirm that any security breach has occurred. Stay tuned here.
— LinkedIn (@LinkedIn) Giugno 6, 2012
Update 2
LinkedIn ha confermato il furto dei dati e ha spiegato in un post del proprio blog che tutti coloro che hanno un account associato con le password trafugate noterà presto che la password non permetterà più di accedere al servizio. Questi utenti riceveranno un’e-mail nella quale verrà spiegato come ripristinare il proprio account. L’email, è importante notare, non conterrà alcun link da seguire.
New Post: Further Update on LinkedIn Member Passwords Compromised. blog.linkedin.com/2012/06/06/lin…
— LinkedIn (@LinkedIn) Giugno 6, 2012