2012年のLinkedInのハック事件は、今もユーザーに問題を起こしている。同社は今日(米国時間5/18)、当時奪われた別のデータセットが公表され、そこには1億人分以上のLinkedInメンバーのメールアドレスとパスワードが含まれていると発表した。新たなデータ漏洩を受け、LinkedInはアカウントを検証し、影響を受けたユーザーに連絡を取り、パスワードを変更できるよう作業を進めていると言っている。
かなり時間がたっているので覚えていないかもしれないが、去る2012年にハッカーがLinkedInに侵入し、650万人分の暗号化パスワードを盗み、ロシアのハッカーフォーラムに掲載した。パスワードはソルトなしのSHA-1 hash形式で保存されていたため、数十万件がすぐに破られた。
Motherboardの最新記事によると、現在 “Peace” と名乗るハッカーが、1.17億人分のLinkedInメンバーのメールアドレスとパスワードを、地下市場でbitcoin 2200ドルで売ろうとしている。データセットには全部で1.67億件のアカウントが入っていたが、メールと暗号化パスワードの両方が含まれていたのはそのうち1.17億件だけだった。
このデータセットは2012年のハックで流出したものなので、パスワードは同じ方法 ― 「ソルトなし」 ― で暗号化されており、これは容易に破られることを意味している。事実、Motherboardによると、90%のパスワードが72時間以内に解読されたという。被害者の中には2012年以来同じパスワートを使っている人もいる、と記事は伝えている。
現在のLinkedInユーザーが心配すべきかどうかは、いくつかの要素に絞られる。2012年のハックの時にアカウントを持っていたか?その後パスワードを変更したか? そのパスワードを別のウェブサイトで流用していたか?
もし自信がなければ、とにかくパスワードを変更すること。同じパスワードを使っているかもしれない他の重要なサイトも同様だ。
LinkedInは、侵入事件以来セキュリティー基準を高め、暗号化を強化し、メールによる確認と二要素認証を導入したと言っている。しかし、このハックは新たな保護対策が行われる前に起きたものだ。メールとパスワードを組み合わせをハッカーに知られたユーザーは危険に曝されている。
[原文へ]
(翻訳:Nob Takahashi / facebook)