2012 LinkedIn хак относится к компьютеру взлома в LinkedIn 5 июня 2012 года Пароли были украдены в течение почти 6500000 учетных записей пользователей. Евгений Никулин был признан виновным в преступлении и приговорен к 88 месяцам лишения свободы.
Владельцы взломанных учетных записей не смогли получить доступ к своим учетным записям. В официальном заявлении LinkedIn говорится, что они отправят участникам электронное письмо с инструкциями о том, как они могут сбросить свои пароли. В мае 2016 года LinkedIn обнаружила еще 100 миллионов адресов электронной почты и паролей, которые были взломаны в результате того же взлома 2012 года.
История
Взлом
Социальная сеть веб - сайт LinkedIn был взломан 5 июня 2012 года , а также пароли для почти 6500000 учетных записей были украдены российскими киберпреступниками . [1] [2] Владельцы взломанных учетных записей больше не могли получить доступ к своим учетным записям, и веб-сайт неоднократно предлагал своим пользователям сменить пароли после инцидента. [3] Висенте Силвейра , директор LinkedIn, [4] подтвердил от имени компании, что сайт был взломан в официальном блоге. Он также сказал, что владельцы взломанных учетных записей обнаружат, что их пароли на веб-сайте больше не действительны. [5]
В мае 2016 года LinkedIn обнаружила еще 100 миллионов адресов электронной почты и хешированных паролей, которые якобы являются дополнительными данными от того же взлома 2012 года. В ответ LinkedIn аннулировал пароли всех пользователей, которые не меняли свои пароли с 2012 года. [6]
Реакция
Эксперты по интернет-безопасности заявили, что пароли было легко расшифровать из-за отказа LinkedIn использовать соль при их хешировании, что считается небезопасной практикой, поскольку позволяет злоумышленникам быстро отменить процесс скремблирования, используя существующие стандартные радужные таблицы , предварительно составленные списки сопоставление зашифрованных и незашифрованных паролей. [7] Другой проблемой, вызвавшей споры, было приложение для iOS , предоставленное LinkedIn, которое извлекает личные имена, электронные письма и заметки из мобильного календаря без согласия пользователя. [8] Эксперты по безопасности, работающие в Skycure Security, заявили, что приложение собирает личные данные пользователя и отправляет их на сервер LinkedIn. LinkedIn утверждает, что разрешение на эту функцию предоставлено пользователем, и информация отправляется безопасно с использованием протокола Secure Sockets Layer (SSL). Компания добавила, что никогда не хранила и не передавала эту информацию третьим лицам. [9] [10]
Rep. Мэри Боно Мак в конгрессе Соединенных Штатов прокомментировал инцидент, «Сколько раз это произойдет перед Конгрессом , наконец , просыпается и принимает меры? Это последний инцидент в очередной раз приносит в острый фокус на необходимость принятия законов о защите данных. " Сенатор Патрик Лихи сказал: «Сообщения об еще одном серьезном нарушении данных должны заставить задуматься американских потребителей, которые сейчас более чем когда-либо делятся конфиденциальной личной информацией в своих онлайн-транзакциях и сетях ... Конгресс должен сделать всеобъемлющее законодательство о конфиденциальности данных и киберпреступности своим главным приоритетом. . " [11] [12]
Маркус Кэри, исследователь безопасности Rapid7 , сказал, что хакеры проникли в базы данных LinkedIn в предыдущие дни. [13] Он выразил обеспокоенность тем, что у них мог быть доступ к веб-сайту даже после атаки.
Майкл Ароновиц, вице-президент компании Saveology, сказал: «Ежедневно взламываются сотни сайтов и собирается личная информация. Кража данных для входа в одну учетную запись может легко использоваться для доступа к другим учетным записям, которые могут содержать личную и финансовую информацию». Эксперты по безопасности указали, что украденные пароли были зашифрованы таким образом, что их было довольно легко расшифровать, что было одной из причин утечки данных. [14]
Кэти Шпирка, давний пользователь LinkedIn из Иллинойса , США, подала иск на 5 миллионов долларов против LinkedIn, жалуясь, что компания не сдержала своих обещаний по обеспечению безопасности соединений и баз данных. Эрин О'Харра, пресс-секретарь LinkedIn, отвечая на вопрос об иске, сказала, что юристы хотели воспользоваться этой ситуацией, чтобы снова предложить законопроекты SOPA и PIPA в Конгресс США . [15]
Исправленная жалоба была подана 26 ноября 2012 года от имени Шпирки и другого премиального пользователя LinkedIn из Вирджинии , США, по имени Халила Гилмор-Райт, как представителей класса всех пользователей LinkedIn, пострадавших от нарушения. [16] Иск требовал судебного запрета и другой справедливой защиты, а также реституции и возмещения убытков для истцов и членов группы. [16]
Ответ от LinkedIn
LinkedIn принесла извинения сразу после утечки данных и попросила своих пользователей немедленно сменить пароли. [1] Федеральное бюро расследований помощи LinkedIn Corporation в расследовании кражи. По состоянию на 8 июня 2012 года расследование все еще находилось на начальной стадии, и компания заявила, что не может определить, смогли ли хакеры также украсть адреса электронной почты, связанные со скомпрометированными учетными записями пользователей. [17] LinkedIn заявил, что пользователи, чьи пароли скомпрометированы, не смогут получить доступ к своим учетным записям LinkedIn, используя свои старые пароли. [18]
Арест и осуждение подозреваемого
5 октября 2016 года российский хакер Евгений Никулин был задержан чешской полицией в Праге . Соединенные Штаты запросили на него ордер Интерпола . [19]
Большое жюри Соединенных Штатов предъявило Никулину и трем неназванным сообщникам обвинения в краже личных данных при отягчающих обстоятельствах и вторжении в компьютер. Прокуратура утверждала, что Никулин украл имя пользователя и пароль сотрудника LinkedIn, используя их для получения доступа к сети корпорации. Никулина также обвинили во взломе Dropbox и Formspring , якобы сговоре с целью продажи украденных данных клиентов Formspring, включая имена пользователей, адреса электронной почты и пароли. [20]
Никулин был осужден и приговорен к 88 месяцам лишения свободы. [21]
Рекомендации
- ^ a b "Новости о взломе" . Linkedin . Проверено 8 июня 2012 года .
- ^ «Хакеры крадут 6,5 миллионов паролей из LinkedIn» . Вестник Солнца . Проверено 8 июня 2012 года .
- ^ «LinkedIn подтверждает и приносит извинения за взлом украденного пароля» . Mashable.com . Проверено 8 июня 2012 года .
- ^ «LinkedIn занят расследованием» . The Economic Times . 10 июня 2012 . Проверено 20 июля 2012 года .
- ^ «Обновление: ссылка на сайт подтверждает, что он взломан» . Pc world.com . Проверено 8 июня 2012 года .
- ^ «Защита наших членов» . LinkedIn . Проверено 25 мая 2016 года .
- ^ «LinkedIn страдает от взлома данных экспертов по безопасности» . Рейтер. 6 июня 2012 года в архив с оригинала на 6 ноября 2014 года . Проверено 8 июня 2012 года .
- ^ Кингсли-Хьюз, Адриан. «Приложение LinkedIn ios собирает имена, электронные письма и заметки из вашего календаря» . Forbes.com . Проверено 8 июня 2012 года .
- ^ «Проблемы конфиденциальности приложения LinkedIn для iOS беспокоят людей» . Mashable.com . Проверено 8 июня 2012 года .
- ^ Гуне, Адитья (2017). «Криптографические последствия взлома данных LinkedIn». arXiv : 1703.06586 [ cs.CR ]. Неизвестный параметр
|url=
игнорируется ( справка ) - ^ «Утечка паролей из LinkedIn ... Конгресс немедленно хочет« что-то сделать! » » . Techdirt.com . Проверено 8 июня 2012 года .
- ^ Сассо, Брендан (6 июня 2012 г.). «Законодатели обеспокоены сообщением о краже паролей LinkedIn» . Хилликонская долина . Проверено 25 июля 2012 года .
- ^ «Хакер утверждает, что украл миллионы паролей» . Новости Меркурия . Проверено 7 июня 2012 года .
- ^ «Более 6 миллионов зашифрованных паролей LinkedIn просочились в сеть» (пресс-релиз). Маргейт, Флорида : PRWeb . Проверено 18 апреля 2013 года .
- ^ «LinkedIn подала в суд на взломанные пароли на 5 миллионов долларов» . News Tribe.com . Проверено 23 июня 2012 года .
- ^ а б Константин, Лучиан (6 марта 2013 г.). «LinkedIn выиграла судебный процесс о возмещении ущерба в результате массового взлома пароля» . Мир ПК . Служба новостей IDG . Проверено 3 апреля 2012 года .
- ^ «ФБР в помощь LinkedIn» . Gadgets.NDTV.com . Проверено 8 июня 2012 года .
- ^ «LinkedIn взломали» . Fox10TV.com . Проверено 8 июня 2012 года .
- ^ Трещанин Дмитрий; Щетко, Ник (20 октября, 2016). «Эксклюзив: цифровой след выдает личность российского« хакера », задержанного в Праге» . RadioFreeEurope / RadioLiberty .
- ^ «США обвиняют российского хакера в краже данных LinkedIn» . RadioFreeEurope / RadioLiberty . 22 октября 2016 г.
- ^ Стоун, Джефф (29 сентября 2020 г.). «Хакер LinkedIn Никулин приговорен к 7 годам тюрьмы после долгих лет судебных баталий» . Архивировано 29 сентября 2020 года . Проверено 23 ноября 2020 года .