LinkedIn

Milhões de usuários do LinkedIn estão recebendo um email do serviço com orientações para troca imediata de senha. O motivo? Um vazamento de dados que teria acontecido em julho de 2012 e que pode ter afetado 167 milhões de contas.

O LinkedIn reconhece que, em 2012, os seus servidores foram invadidos, o que resultou no vazamento de senhas. Na ocasião, a reação foi a esperada: as contas envolvidas — estima-se que 6,5 milhões — tiveram que passar por uma redefinição de senha. Além disso, a companhia emitiu comunicados para orientar outros usuários a fazerem o mesmo como medida de precaução.

Nesta semana, o LinkedIn descobriu que o problema não terminou ali: um membro de uma darknet chamada TheRealDeal colocou à venda um pacote com dados de acesso de 117 milhões de contas do LinkedIn obtidos no vazamento de 2012. O preço? 5 bitcoins (US$ 2,2 mil, aproximadamente).

A quantidade de contas afetadas pode ser maior. O LeakedSource, site que se descreve como um serviço que ajuda o usuário a descobrir se suas informações privadas estão disponíveis na internet, afirma ter tido acesso a dados de 167.370.910 contas.

De acordo com o LinkedIn, nenhuma outra grande invasão foi registrada no serviço, por isso, é praticamente certo que os dados dessas contas tenham sido mesmo obtidos no vazamento de 2012.

LeakedSource

LeakedSource

Se o número de contas é tão amplo assim, por que só agora os dados foram colocados à disposição? Um dos responsáveis pelo LeakedSource explicou ao Motherboard que, provavelmente, os dados ficaram esse tempo todo sob domínio de um pequeno grupo russo. É possível que o acesso ao pacote tenha sido bem controlado para evitar alarde, o que faria muitas senhas serem mudadas rapidamente.

Pelo o que sabe, as senhas em si foram criptografadas, mas sem aplicação de “sal” (salt), técnica de derivação de chave que ajuda a proteger a combinação de determinados tipos de ataque. Por conta disso, pessoas com conhecimento no assunto não enfrentam dificuldades para identificar as senhas.

Diante disso, o LinkedIn não teve outra opção: desde quarta-feira (18) usuários do serviço estão recebendo um email para troca de senhas. Como reforço, o serviço está invalidando progressivamente as senhas de todas as contas criadas até 2012. O mesmo tem sido feito em relação às contas que não sofreram atualização desde esse ano.

O email que está sendo enviado aos usuários

O email que está sendo enviado aos usuários

Como esperado, o LinkedIn vem sendo questionado por especialistas em segurança por não ter tomado medidas mais abrangentes em relação à invasão de 2012. Para Brad Taylor, CEO da empresa de segurança Proficio, uma análise forense bem executada poderia ter dado uma noção mais clara do alcance do problema. A companhia se defende dizendo, por exemplo, que reforçou a criptografia das senhas e que implementou a opção de autenticação em dois passos.

Mas, como o estrago já está feito, vale fazer o possível para se proteger: a dica é mudar a sua senha no LinkedIn o quanto antes, mesmo que a sua conta não tenha sido notificada.

Com informações: Motherboard, CNNMoney

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Andreia Menezes Rodrigues
Kkkkkk
Victor Sobreira
Estranho é ver publicando uma informação agora em 17/08/2016, ver no blog do linkedin uma outra publicação no dia 18/05/2016 dias apos publicação. E falarem que a informação é de 2012. Por dúvidas fiz alteração da minha senha e outros sites/serviços que usava a mesma. Acredito ser uma boa idéia alterarem tb a de vcs.
Trovalds
Ia mudar minha senha... mas depois desse comentário, bem... deixa quieto. Vai que eu sou sortudo e saio dessa de freelancer mal remunerado. Pra um empregado mal remunerado.
Caleb Enyawbruce

na pagina de Settings diz que criei minha conta no final de 2013, ufa!
http://www.linkedin.com/pse...

Ramon Gonzalez
na pagina de Settings diz que criei minha conta no final de 2013, ufa! http://www.linkedin.com/psettings/
Maxnoob
Te dar um emprego ;--;
Bruno Guerreiro
No português de Portugal só chamam de "sal" mesmo, mas aqui no Brasil é muito mais comum a utilização do termo original "salt" (eu por exemplo, nunca ouvi ninguém falando "sal", exceto aquela turma que chama site de "sítio")...
Emerson Alecrim

Esses são nomes próprios, é diferente. De todo modo, o termo "sal" é usado informalmente em português. Procure por "sal criptografia" no Google e você verá.

emersonalecrim
Esses são nomes próprios, é diferente. De todo modo, o termo "sal" é usado informalmente em português. Procure por "sal criptografia" no Google e você verá.
Diogo

Mas ainda assim é estranho traduzir tecnologias... se fosse assim, Torrent, Soap, Rest, Edge (e por aí vai) teriam umas traduções bem bizarras...

Edit: se bem que nesse caso é um termo mesmo, foi mal. Às vezes fica estranho, às vezes não.

Diogo Nóbrega
Mas ainda assim é estranho traduzir tecnologias... se fosse assim, Torrent, Soap, Rest, Edge (e por aí vai) teriam umas traduções bem bizarras... Edit: se bem que nesse caso é um termo mesmo, foi mal. Às vezes fica estranho, às vezes não.
Emerson Alecrim

Reparou que "sal" está escrito assim, entre aspas?

emersonalecrim
Reparou que "sal" está escrito assim, entre aspas?
Diego F. Duarte
Sem aplicacao de "SALT", voces querem dizer, ne? Nao existe uma traducao literal p esse termo, oh prezada redacao do TB XD. No PT-BR, ha qm chame isso de "salto", mas n sei ao certo pq. Salt e sim uma tecnica de criptografia, parecida com a random seed.
Fabricio Augusto
vão fazer oq com meu perfil de desempregado? kkkk
Exibir mais comentários