ハッカーが、LinkedIn ユーザー 1 億 6,700 万人分のアカウント記録を含むデータベース ダンプを販売しようとしている。
この告知は、TheRealDealというダークマーケットのウェブサイトに、1億6,737万940人のユーザーID、メールアドレス、SHA1パスワードハッシュが含まれているとされるデータセットを5ビットコイン(約2,200ドル)で買いたいユーザーによって投稿された。
セール広告によると、今回のデータ流出はLinkedInのデータベース全体を網羅しているわけではない。実際、LinkedInはウェブサイト上で4億3300万人以上の登録会員がいると主張している。
既知のデータ侵害の影響を受けているかどうかをユーザーが確認できるウェブサイト「Have I been pwned? 」の制作者、トロイ・ハント氏は、今回の漏洩は正当なものである可能性が高いと考えている。彼はデータセットから約100万件のレコードにアクセスできた。
「データの一部を見て、それが本物であることを確認した」とハント氏は電子メールで述べた。
ルシアン・コンスタンティン ハッカーが盗んだLinkedInアカウント記録1億6,700万件をダークマーケットのウェブサイトで販売している。
LinkedInは2012年にデータ侵害を受け、650万件のユーザーデータとパスワードハッシュがオンライン上に公開されました。2012年の侵害は当初考えられていたよりも規模が大きく、盗まれた残りのデータが現在表面化している可能性が非常に高いです。
リンクトインはコメント要請にすぐには応じなかった。
販売者への連絡は失敗したが、データ漏洩インデックスサイト「LeakedSource」の管理者もデータセットのコピーを所有しており、記録は2012年のLinkedIn情報漏洩に由来すると考えていると主張している。
LeakedSourceの管理者はブログ投稿で、「パスワードはソルトなしのSHA1で保存されていました」と述べています。「これはインターネット標準が推奨するものではありません。パスワードが設定されていたのは1億1,700万アカウントのみで、残りのユーザーはFacebookかそれに類似する手段を使って登録したと推測されます。」
ベストセキュリティプラクティスでは、パスワードをデータベース内にハッシュ形式で保存することが推奨されています。ハッシュ化とは、文字列からハッシュと呼ばれる一意かつ検証可能な暗号表現を生成する一方向の処理です。
ハッシュはパスワードの検証に役立ちます。同じハッシュ プロセスでパスワードを実行すると、常に同じハッシュが生成され、データベースに以前保存されたハッシュと比較できるためです。
ハッシュを元のパスワードに戻すことは不可能であるため、プレーンテキストのパスワードではなくハッシュを保存する方が安全です。ただし、MD5やSHA1などの古いハッシュ関数は、様々なクラッキング手法に対して脆弱であるため、使用すべきではありません。
2012年にLinkedInのパスワードハッシュ650万件が漏洩した際、ハッカーは60%以上を解読することに成功しました。今回新たに漏洩した1億1700万件のハッシュについても同様のことが起こりそうで、安全であるとは考えられません。
さらに悪いことに、この漏洩の影響を受けた多くのLinkedInユーザーは、2012年以来パスワードを変更していない可能性が高い。ハント氏は、現在売りに出されている新しいデータセットにメールアドレスとパスワードハッシュが含まれていたHIBP加入者の少なくとも1人について、そのことを確認できた。
ハント氏は電子メールで、今回の侵害の影響を受けた多くの人が、ウェブ上の複数の場所でパスワードを使い回していた可能性が高いと述べた。
LinkedInユーザーで長期間パスワードを変更していない場合は、できるだけ早く変更することをお勧めします。LinkedInの2段階認証を有効にすることもお勧めします。LinkedInのパスワードを他のウェブサイトでも使用している場合は、そちらでも変更してください。
