La violazione della password di LinkedIn genera una campagna di spam

Una violazione dei dati su LinkedIn, il sito di social networking orientato al business, ha generato una campagna di spam che cerca di sfruttare gli utenti preoccupati che le loro password siano tra i 6,46 milioni pubblicati su Internet.

La campagna di spam utilizza messaggi di servizio che fingono di essere di LinkedIn, ma non è stata stabilita alcuna connessione tra la violazione dei dati e i messaggi di spam.

"Poiché le e-mail simili sono in circolazione da un po 'di tempo, è difficile dire se questo è un esempio di una truffa coordinata progettata per sfruttare la violazione della sicurezza resa pubblica [mercoledì], o semplicemente una coincidenza (come ricevere una e-mail di phishing che ti chiede di reimpostare la tua password bancaria online Bank of America due giorni dopo l'apertura un account lì), "Cameron Camp, un ricercatore di sicurezza di Eset, ha scritto in un blog aziendale.

[Ulteriori letture: Come rimuovere malware dal tuo PC Windows]

Il messaggio LinkedIn fasullo, creato per assomigliare un'autentica comunicazione dal sito, chiede al destinatario di confermare il suo indirizzo e-mail e contiene un link per farlo. Facendo clic sul link, l'obiettivo viene indirizzato a una farmacia online illegale che vende Viagra e altri farmaci.

La campagna non ha potuto avere un momento peggiore per LinkedIn, che ha utilizzato la posta elettronica per comunicare con i suoi membri colpiti dall'enorme violazione dei suoi sistemi.

Consapevoli che fare clic sui collegamenti nelle e-mail è una cattiva pratica di sicurezza, LinkedIn sta utilizzando un processo in due fasi. Gli utenti interessati dalla violazione ricevono prima un'e-mail senza alcun collegamento. Informa il membro che deve reimpostare la propria password e fornisce loro i passaggi per farlo.

Dopo aver completato tali passaggi e richiesto l'assistenza per la password, il membro riceverà una seconda e-mail con un link per reimpostare la password.

" Vale la pena notare che i membri interessati che aggiornano le loro password e i membri le cui password non sono state compromesse beneficiano della sicurezza avanzata che abbiamo appena messo in atto, che include l'hashing e il salting dei nostri attuali database delle password ", il direttore di LinkedIn, Vicente Silveira,

LinkedIn è stato criticato quando la violazione è stata rivelata per non aver "salato" gli hash delle password dei suoi membri. L'hashing di una password lo crittografa in modo da renderlo incomprensibile a occhio nudo. Ma gli schemi di hashing producono lo stesso hash per la stessa password. Quindi, per tutti i siti che utilizzano uno schema di crittografia come SHA-1, una password come linkedin123 avrebbe lo stesso hash su tutti i siti. Ciò rende gli hash facili da decifrare con gli strumenti di riferimento giusti.

La salatura degli hash aggiunge caratteri casuali all'hash. Questo rende ogni hash unico e molto più difficile da decifrare.

LinkedIn non è stato l'unico sito web preso di mira dagli hacker questa settimana. Anche il sito di incontri online eHarmony è stato penetrato e sono stati immessi sul Web 1.5 milioni di hash di password.

Gli hacker tipicamente pubblicano hash che hanno difficoltà a scricchiolare su Internet per ottenere aiuto dai loro colleghi nella decifrazione delle password.

Segui freelance lo scrittore di tecnologia John P. Mello Jr. e Today @ PCWorld su Twitter.