Milhões de usuários do LinkedIn estão recebendo um email do serviço com orientações para troca imediata de senha. O motivo? Um vazamento de dados que teria acontecido em julho de 2012 e que pode ter afetado 167 milhões de contas.
O LinkedIn reconhece que, em 2012, os seus servidores foram invadidos, o que resultou no vazamento de senhas. Na ocasião, a reação foi a esperada: as contas envolvidas — estima-se que 6,5 milhões — tiveram que passar por uma redefinição de senha. Além disso, a companhia emitiu comunicados para orientar outros usuários a fazerem o mesmo como medida de precaução.
Nesta semana, o LinkedIn descobriu que o problema não terminou ali: um membro de uma darknet chamada TheRealDeal colocou à venda um pacote com dados de acesso de 117 milhões de contas do LinkedIn obtidos no vazamento de 2012. O preço? 5 bitcoins (US$ 2,2 mil, aproximadamente).
A quantidade de contas afetadas pode ser maior. O LeakedSource, site que se descreve como um serviço que ajuda o usuário a descobrir se suas informações privadas estão disponíveis na internet, afirma ter tido acesso a dados de 167.370.910 contas.
De acordo com o LinkedIn, nenhuma outra grande invasão foi registrada no serviço, por isso, é praticamente certo que os dados dessas contas tenham sido mesmo obtidos no vazamento de 2012.
Se o número de contas é tão amplo assim, por que só agora os dados foram colocados à disposição? Um dos responsáveis pelo LeakedSource explicou ao Motherboard que, provavelmente, os dados ficaram esse tempo todo sob domínio de um pequeno grupo russo. É possível que o acesso ao pacote tenha sido bem controlado para evitar alarde, o que faria muitas senhas serem mudadas rapidamente.
Pelo o que sabe, as senhas em si foram criptografadas, mas sem aplicação de “sal” (salt), técnica de derivação de chave que ajuda a proteger a combinação de determinados tipos de ataque. Por conta disso, pessoas com conhecimento no assunto não enfrentam dificuldades para identificar as senhas.
Diante disso, o LinkedIn não teve outra opção: desde quarta-feira (18) usuários do serviço estão recebendo um email para troca de senhas. Como reforço, o serviço está invalidando progressivamente as senhas de todas as contas criadas até 2012. O mesmo tem sido feito em relação às contas que não sofreram atualização desde esse ano.
Como esperado, o LinkedIn vem sendo questionado por especialistas em segurança por não ter tomado medidas mais abrangentes em relação à invasão de 2012. Para Brad Taylor, CEO da empresa de segurança Proficio, uma análise forense bem executada poderia ter dado uma noção mais clara do alcance do problema. A companhia se defende dizendo, por exemplo, que reforçou a criptografia das senhas e que implementou a opção de autenticação em dois passos.
Mas, como o estrago já está feito, vale fazer o possível para se proteger: a dica é mudar a sua senha no LinkedIn o quanto antes, mesmo que a sua conta não tenha sido notificada.
Com informações: Motherboard, CNNMoney