Se você possui conta do LinkedIn, esta é uma boa hora para trocar sua senha. Um usuário de um fórum russo afirma ter obtido acesso a milhões de senhas dos usuários da rede social. Para provar sua façanha, vazou um arquivo com exatamente 6.458.020 combinações criptografadas na internet, mas sem os respectivos nomes de usuário. Hoje não é um bom dia para o serviço: a história vem logo após o aplicativo para iOS do LinkedIn ser acusado de violar a privacidade dos usuários.
Como os desenvolvedores do LinkedIn foram inteligentes o suficiente para não armazenar senhas em texto puro no banco de dados, apenas os hashes das combinações vazaram. Todas estão criptografadas em SHA-1, o que torna a descoberta das senhas mais difícil, mas não impossível, especialmente dos usuários que têm costume de usar combinações muito comuns ou palavras presentes em dicionários.
É verdade que o arquivo de senhas pode ser falso como aconteceu recentemente com o Twitter, mas relatos de usuários na internet dão credibilidade ao assunto, como afirma o The Verge. Vários deles encontraram os hashes de suas senhas no meio do arquivo e algumas combinações apontam para a palavra “linkedin”, o que indica que os códigos não são aleatórios. A equipe do LinkedIn anunciou que está investigando o caso e checando as informações dos usuários.
Ainda hoje, a empresa de segurança Skycure Security descobriu que o aplicativo do LinkedIn envia sem permissão os dados dos calendários dos usuários de iOS para os servidores da empresa, incluindo informações como assunto, local, anotações e horário. Para piorar, esses detalhes são enviados em texto puro, agravando o problema. O LinkedIn, por sua vez, afirmou que tudo é transmitido por SSL e nunca armazena informações dos calendários.
Como em todo vazamento de senhas, a recomendação é alterar sua senha do LinkedIn assim que possível. Se você utilizava a mesma combinação em outros serviços, também é importante trocar sua senha em todos eles.
Atualização às 16h50 | O LinkedIn confirmou que “algumas” senhas realmente foram obtidas sem autorização do banco de dados da rede social. Os usuários afetados tiveram suas senhas automaticamente redefinidas e receberão emails alertando sobre o problema.