Hoy es un día complicado para LinkedIn debido a que en un foro de origen ruso se expuso información sobre la propia plataforma social que podría haber sido vulnerada. Particularmente, se exhibieron alrededor de 6.5 millones de contraseñas que pertenecerían a esta red social que posee más de 150 millones de usuarios.
Hace algunas horas circula esta noticia sobre la posible exposición de más de 6 millones de contraseñas de la conocida plataforma social con orientación profesional. Aparentemente en el foro ruso, se expusieron estas contraseñas a modo de prueba de concepto pero sin brindar información sobre los usuarios. Un detalle no menor, es que estas contraseñas están almacenadas mediante el algoritmo criptográfico SHA. Además de eso, se estima la posibilidad de que no se haya agregado una segunda capa de seguridad a las contraseñas mediante lo que vulgarmente es conocido como ‘grano de sal’, técnica que involucra una segunda etapa de hashing. De esta forma sería mucho más complejo para quienes obtuvieron estas contraseñas poder vulnerarlas (cracking), por ejemplo, mediante el uso de rainbow tables. Sin embargo, a pesar de que tampoco es sencillo vulnerar contraseñas que no utilizan granos de sal, aquellas que sean demasiados sencillas pueden ser obtenidas mediante un ataque de diccionario. Hasta este momento, más de 300.000 contraseñas ya habrían sido descifradas y se estima que este número seguirá creciendo.
Debido a este incidente, LinkedIn emitió un mensaje en Twitter afirmando que ya se está indagando sobre el hecho ocurrido. El mensaje puede observarse en la siguiente imagen:
Otra noticia que circuló horas antes referido también a LinkedIn, es que hubo reportes sobre aplicaciones de iOS para la red social, que recolectan información sobre el calendario del dispositivo y la envía a los servidores de la compañía en texto plano. Este tipo de información es recolectada sin el permiso explícito del usuario, es decir, que se realiza a través de una opción que le brinda al usuario la posibilidad de acceder a su calendario desde la propia aplicación. Debido a esto, LinkedIn respondió aclarando que una nueva versión de esta aplicación ya está en vías de desarrollo y además especificó de forma detallada que es lo que se hace y lo que no se hace con esa información.
A modo de consejo, es importante ante este evento tan masivo cambiar la contraseña de la cuenta de LinkedIn ya que la misma puede haber quedado expuesta. De todas formas, siempre es recomendable el cambio de las contraseñas cada un cierto período de tiempo para disminuir la probabilidad de sufrir el robo de las mismas.
Fernando Catoira
Analista de Seguridad
Actualización: 06:00 p.m. [UTC -03:00 Buenos Aires]: LinkedIn confirmó que realmente fueron comprometidas algunas contraseñas correspondientes a sus usuarios. Además afirmó que aquellos usuarios afectados no podrán ingresar a la plataforma con sus respectivas contraseñas (no son válidas). En su lugar, un correo electrónico será enviado a sus cuentas con el procedimiento adecuado para poder establecer una nueva contraseña. Por cuestiones de seguridad el mensaje no contendrá ningún enlace. Los usuarios afectados recibirán un segundo correo que explica en mejor detalle cuál es el contexto de la situación. Finalmente, LinkedIn afirmó que la seguridad de sus bases de datos fue mejorada incluyendo hashing y el mencionado grano de sal.
