Ha fatto immediatamente il giro del mondo la notizia di un possibile trafugamento di ben 6,5 milioni di password relativi ad altrettanti account LinkedIn. Il popolarissimo social network oggi impiegato per costruire reti di contatti di tipo professionale potrebbe essere stato oggetto di un’aggressione informatica che, al momento, non viene né confermata né smentita. Con un intervento pubblicato su Twitter, il team di sviluppo di LinkedIn ha confermato di essere al lavoro per svolgere tutte le indagini sull’accaduto e, soprattutto, per stabilire le cause dell’incidente. “Non siamo ancora di confermare la presenza di alcuna falla di sicurezza nei nostri sistemi“, hanno aggiunto i tecnici del social network.
L’immensa mole di credenziali è stata pubblicata da un utente anonimo su un forum russo. L’aggressore afferma di aver violato i server di LinkedIn e di aver carpito una serie di informazioni personali. Come prova della sua “scorribanda”, l’hacker – per adesso ci sentiamo di battezzarlo come tale – si è limitato a rendere pubbliche solamente le password appartenenti a 6,5 milioni di utenti. Tali parole chiave, tuttavia, non sono abbinate ad alcun nome utente e non sono esposte in chiaro. Le password, infatti, sono state pubblicate in Rete solo nella loro forma crittografata, cifrate – quindi – utilizzando l’algoritmo di hashing SHA-1.
Come abbiamo spiegato nell’articolo “MultiHasher: verificare l’integrità di qualunque file in Windows“, lo SHA-1 produce, a partire da un qualunque testo (quindi, anche una password), una sua versione crittografata. La sicurezza di un algoritmo di hash, qual è SHA-1, deriva dal fatto che la funzione che s’incarica di trasformare il testo in chiaro in una sua versione cifrata non sia invertibile. In linea di principio non è possibile ritornare, dalla versione cifrata al testo in chiaro.
Nel caso delle password che sarebbero state trafugate da LinkedIn, non è possibile – almeno in linea teorica – risalire alla parola chiave di partenza.
Sfortunatamente, però, le prime analisi hanno evidenziato come le password SHA-1 siano “unsalted” ossia non sono state generate includendo acnhe dei bit casuali come input. L’impiego di un salt rende più difficoltosi gli attacchi basati sull’uso di dizionari e, stando a quanto affermato da alcuni esperti, le password di provenienza LinkedIn potrebbero essere aggredite facilmente usando le cosiddette rainbow tables (ved. anche questi articoli).
Al momento non è dato sapere se la pubblicazione delle password possa essere una “bufala” o meno. Tuttavia, alcuni utenti di LinkedIn affermano di aver trovato sul web gli hash delle proprie credenziali usate sul social network.
Il consiglio, qualora si fosse iscritti a LinkedIn, è quello di cambiare quanto prima – per maggior sicurezza – la password associata al proprio account.