Wij laten automatisering
voor u werken
radecom

5 funeste privacyfouten van LinkedIn

LinkedIn heeft deze week flink meer bezoek gekregen dan normaal. Allemaal gebruikers die in allerijl hun wachtwoord wilden aanpassen. Omdat LinkedIn flinke fouten heeft gemaakt. 5 stuks op rij.

Ongezouten

LinkedIns eerste fout is niet het lekken van 6,5 miljoen wachtwoorden van de eigen leden. Dat is helaas tegenwoordig niet meer zo bijzonder: dat kan bijna iedereen overkomen. Grote bedrijven, wereldwijde netwerken, Nederlandse ondernemingen, gemeenten en (zorg)instellingen. Dus als je na elk lek bij een site of dienst je account daar opzegt, kun je net zo goed gelijk maar helemaal offline gaan.

Een wel echte basisfout van LinkedIn is het niet salten van de versleutelde wachtwoorden die het opslaat. Daardoor zijn die gecodeerde log-ins (zogeheten hashes) veel makkelijker te kraken. Zonder supercomputer, maar gewoon met krachtige huis-, tuin- en keuken-pc's al dan niet met snelle videokaarten of een opstelling van rekenmonsters in een flexibel te huren cloudomgeving.

Salt toevoegen aan hashes is dan ook heel belangrijk, en kan op verschillende manieren. Daarbij helpt het ook om de data vaker te versleutelen, en weer 'op te zouten'. Dat nu pas doen en daarbij zeggen dat je de security van je leden zeer serieus neemt, zorgt ervoor dat je (potentiële) gebruikers je niet serieus nemen.

Slappe sleutel

Een fout vóór het ontbreken van salting, is het gebruik van het relatief zwakke SHA1 voor de eenrichtingsversleuteling die hashing is. Die hashingfunctie stamt uit de ict-oertijd van 1995, en heeft sinds het antieke 2005 al zwakheden. Goed, die zwakke plekken waren toen nog niet praktisch te benutten, maar zeven jaar geleden waren er nog geen goedkope multicore-gameconsoles, supersnelle, makkelijk programmeerbare gpu's of krachtige cloud-kraakopstellingen.
Sommigen rekenen LinkedIn het gebruik van SHA1 zwaar aan: dat is van zichzelf al onveilig, luidt de kritiek. Maar volgens onderzoeksbureau Gartner is het gebruik van SHA1 an sich helemaal geen hoofdzonde. Het is wel minder veilig, maar de mate waarin valt mee als je maar aanvullende beveiligingsmaatregelen neemt. Zoals het salten van de met SHA1 versleutelde wachtwoorden. Een extra stap die LinkedIn nu heeft ingevoerd: nadat het kalf is verdronken.

Plain-text agendaplundering

Een tussendoor-fout van LinkedIn is beperkt tot de eigen app voor iOS en Android. De in de app verwerkte mogelijkheid om aan te haken op de agenda van smartphone (of tablet) heeft wat ongewenste functies. Zo verzamelt de app alle afspraken voor de komende werkweek, compleet met namen, mailadressen en notities. Die data wordt doorgezonden aan LinkedIn, onversleuteld. Dus naast het sociale netwerk heeft ook elke WiFi-sniffer toegang tot deze privégegevens.

Dergelijke plundering van privacygevoelige iOS-data is eerder dit jaar al ontdekt. Toen waren het apps van onder meer sociale netwerken Facebook en Path die het adresboek van gebruikers stiekem doorgaven aan de servers van de app-makers. Zij schenden daarmee de voorwaarden van Apple, die dit verbiedt als er geen duidelijke permissie is gevraagd aan (en verkregen van) de gebruiker.

De agendasynchronisatie van de LinkedIn-app staat default weliswaar uit. Alleen deelt die opt-in gebruikers niet duidelijk mee wat voor data de app voor welk doel verzamelt, en dat het die data onbeveiligd doorgeeft aan LinkedIn. Daarmee komt het zakelijke sociale netwerk toch weer uit op een schending van de Apple-developervoorwaarden.

Net voordat bekend werd dat hackers hun handen hadden weten te leggen op 6,5 miljoen LinkedIn log-ins, heeft het bedrijf dit mobiele privacyprobleem aangepakt. "Je hebt misschien een paar nieuwsverhalen gezien die zorgen aanstippen hoe je data wordt gebruikt in de opt-in agendafunctie van onze mobiele telefoon-apps. We geven erg veel om het vertrouwen van onze leden, dus wil ik helderheid verschaffen over wat we doen, wat we niet doen, en schetsen hoe we een fantastische functie nog beter maken", blogt LinkedIn over het dichten van dit privacygat.

Geen simpele checks

Terug naar het uitlekken van miljoenen wachtwoorden. Daar maakt LinkedIn de volgende fout: geen simpele check bieden aan eindgebruikers én zelf geen snelle check kunnen uitvoeren. LinkedIn heeft er flink de tijd voor genomen om het lek überhaupt te bevestigen. "Ik denk dat het makkelijk is om de inbraak te bevestigen: gewoon controleren of de 6 miljoen uitgelekte SHA1-hashes matchen met jullie eigen database?", geeft security-expert Costin Raiu van Kaspersky Lab als suggestie aan het Twitter-account van LinkedIn.

Maar LinkedIn heeft niet alleen zelf moeite met controle van het lek, dat hebben de leden ook. En LinkedIn helpt ze niet uit deze brand. Hoe moet je weten of je wachtwoord is uitgelekt? Een cruciale vraag, waar het sociale netwerk geen antwoord op geeft. Op dat gat springen nu derde partijen: met een hash-controlerende website, een wachtwoord-checkende web-app, enzovoorts.

Ongetwijfeld zitten daar ook weer malafide figuren tussen die naïeve gebruikers hun wachtwoord en/of hash laten invoeren. Daarmee kunnen zij die inloginformatie buitmaken en die dan linken aan naam, mailadres enzovoorts. Phishers gebruiken heus niet alleen mailtjes, in herkenbaar gebrekkig Engels opgesteld, om te hengelen naar waardevolle wachtwoorden.

En cybercriminelen hoeven niet eens zelf zo'n wachtwoord-oogstende site of app op te tuigen. Ze kunnen ook een bestaande kraken, van een al dan niet goedbedoelende partij. Misschien heeft die net zulke zwakke beveiliging als LinkedIn zelf. Bijkomend voordeel voor de 'bad guys' is dat deze aanpak flink meer kan opleveren. Heel veel van de 160 miljoen LinkedIn-gebruikers zijn nu immers bezorgd en voeren mogelijk zo'n check uit; veel meer gebruikers dan 'slechts' de 6,5 miljoen wiens log-ins nu op straat liggen.

Incomplete blokkade

Om een probleem aan te pakken, moet je eerst erkennen dat je een probleem hebt. LinkedIn heeft uiteindelijk bevestigd dat het log-ins van zijn leden heeft gelekt. Vervolgens heeft het kordaat opgetreden door de accounts van de getroffen klanten te blokkeren. Tenminste, dat blogt het zakelijke sociale netwerk in zijn tweede bericht over de hele affaire.

Op sociale media zijn vervolgens vele meldingen opgedoken van getroffen, maar niet geblokkeerde LinkedIn-gebruikers. Zij hebben de hash voor hun eigen wachtwoord aangemaakt en dat opgezocht in de uitgelekte lijst van 6,5 miljoen stuks.

Of ze hebben het letterlijke wachtwoord opgezocht in de circulerende lijsten van reeds gekraakte hashes. Het ontcijferen gebeurt namelijk in rap tempo: na zo'n anderhalve dag heeft kraakinitiatief KoreLogic al 65 procent van de valide hashes gekraakte (en 76 procent van het totaal). 100 procent is dus zo bereikt. Zal LinkedIns blokkade van gecompromitteerde accounts net zo snel volledig zijn?

Bron: webwereld