stringtranslate.com

Взлом LinkedIn в 2012 году

Взлом LinkedIn 2012 года относится к взлому компьютера LinkedIn 5 июня 2012 года. Были украдены пароли почти 6,5 миллионов учетных записей пользователей. Евгений Никулин был признан виновным в преступлении и приговорен к 88 месяцам лишения свободы.

Владельцы взломанных аккаунтов не смогли получить доступ к своим аккаунтам. LinkedIn в официальном заявлении заявила, что отправит участникам электронные письма с инструкциями о том, как сбросить пароли. В мае 2016 года LinkedIn обнаружила еще 100 миллионов адресов электронной почты и паролей, которые были скомпрометированы в результате того же взлома 2012 года.

История

Хак

Социальная сеть LinkedIn была взломана 5 июня 2012 года, и пароли почти 6,5 миллионов учетных записей пользователей были украдены российскими киберпреступниками . [1] [2] Владельцы взломанных учетных записей больше не могли получить доступ к своим учетным записям, и сайт неоднократно призывал своих пользователей сменить пароли после инцидента. [ 3] Висенте Силвейра, директор LinkedIn, [4] подтвердил от имени компании, что сайт был взломан в своем официальном блоге. Он также сказал, что владельцы скомпрометированных учетных записей обнаружат, что их пароли больше не действительны на сайте. [5]

В мае 2016 года LinkedIn обнаружила еще 100 миллионов адресов электронной почты и хэшированных паролей, которые, как утверждалось, были дополнительными данными из того же взлома 2012 года. В ответ LinkedIn аннулировала пароли всех пользователей, которые не меняли свои пароли с 2012 года. [6]

Утечка

Коллекция, содержащая данные о более чем 700 миллионах пользователей, предположительно, украденная из LinkedIn, была слита в сеть в сентябре 2021 года в виде торрент-файла после того, как хакеры уже пытались продать ее в июне 2021 года. [7]

Реакция

Эксперты по безопасности в Интернете заявили, что пароли было легко расшифровать из-за того, что LinkedIn не использовала соль при их хешировании, что считается небезопасной практикой, поскольку позволяет злоумышленникам быстро обратить процесс шифрования, используя существующие стандартные таблицы rainbow table , заранее составленные списки соответствующих зашифрованных и не зашифрованных паролей. [8] Еще одной проблемой, вызвавшей споры, было приложение iOS , предоставленное LinkedIn, которое извлекает личные имена, электронные письма и заметки из мобильного календаря без одобрения пользователя. [9] Эксперты по безопасности, работающие в Skycure Security, заявили, что приложение собирает личные данные пользователя и отправляет их на сервер LinkedIn. LinkedIn заявила, что разрешение на эту функцию предоставляется пользователем, и информация отправляется безопасно с использованием протокола Secure Sockets Layer (SSL). Компания добавила, что никогда не хранила и не передавала эту информацию третьим лицам. [10] [11]

Представительница Конгресса США Мэри Боно Мэк прокомментировала инцидент: «Сколько раз это будет происходить, прежде чем Конгресс, наконец, проснется и примет меры? Этот последний инцидент в очередной раз остро ставит вопрос о необходимости принятия законодательства о защите данных». Сенатор Патрик Лихи сказал: «Сообщения об очередной крупной утечке данных должны заставить задуматься американских потребителей, которые сейчас больше, чем когда-либо, делятся конфиденциальной личной информацией в своих онлайн-транзакциях и сетях... Конгресс должен сделать всеобъемлющее законодательство о конфиденциальности данных и киберпреступности главным приоритетом». [12] [13]

Маркус Кэри, исследователь безопасности Rapid7 , сказал, что хакеры проникли в базы данных LinkedIn в предыдущие дни. [14] Он выразил опасения, что у них мог быть доступ к веб-сайту даже после атаки.

Майкл Ароновиц, вице-президент Saveology, сказал: «Ежедневно взламываются сотни сайтов и похищается личная информация. Кража информации для входа в систему с одного аккаунта может быть легко использована для доступа к другим аккаунтам, которые могут содержать личную и финансовую информацию». Эксперты по безопасности указали, что украденные пароли были зашифрованы таким образом, что их было довольно легко расшифровать, что и стало одной из причин утечки данных. [15]

Кэти Шпырка, давний пользователь LinkedIn из Иллинойса , США, подала иск на 5 миллионов долларов против LinkedIn, жалуясь на то, что компания не сдержала своих обещаний по защите соединений и баз данных. Эрин О'Харра, пресс-секретарь, работающая в LinkedIn, когда ее спросили об иске, сказала, что юристы хотели воспользоваться этой ситуацией, чтобы снова предложить законопроекты SOPA и PIPA в Конгрессе США . [16]

Измененная жалоба была подана 26 ноября 2012 года от имени Шпырки и другого премиум-пользователя LinkedIn из Вирджинии , США, по имени Халила Гилмор-Райт, как представителей группы всех пользователей LinkedIn, пострадавших от нарушения. [17] В иске требовалось судебное предписание и другие справедливые меры, а также возмещение ущерба для истцов и членов группы. [17]

Ответ от LinkedIn

LinkedIn немедленно извинилась после утечки данных и попросила своих пользователей немедленно сменить свои пароли. [1] Федеральное бюро расследований помогло LinkedIn Corporation в расследовании кражи. По состоянию на 8 июня 2012 года расследование все еще находилось на ранней стадии, и компания заявила, что не может определить, смогли ли хакеры также украсть адреса электронной почты, связанные с скомпрометированными учетными записями пользователей. [18] LinkedIn заявила, что пользователи, чьи пароли были скомпрометированы, не смогут получить доступ к своим учетным записям LinkedIn, используя свои старые пароли. [19]

Арест и осуждение подозреваемого

5 октября 2016 года российский хакер Евгений Никулин был задержан чешской полицией в Праге . США запросили ордер Интерпола на его арест. [20]

Большое жюри США предъявило Никулину и трем неназванным сообщникам обвинения в краже личных данных с отягчающими обстоятельствами и взломе компьютера. Прокуроры утверждали, что Никулин украл имя пользователя и пароль сотрудника LinkedIn, используя их для получения доступа к сети корпорации. Никулин также обвинялся во взломе Dropbox и Formspring , предположительно в сговоре с целью продажи украденных данных клиентов Formspring, включая имена пользователей, адреса электронной почты и пароли. [21]

Никулин был признан виновным и приговорен к 88 месяцам лишения свободы. [22]

Ссылки

  1. ^ ab "Обновление о взломе". Linkedin . Получено 8 июня 2012 г.
  2. ^ "Хакеры украли 6,5 миллионов паролей из LinkedIn". Herald Sun. Получено 8 июня 2012 г.
  3. ^ "LinkedIn подтверждает и приносит извинения за кражу пароля". Mashable.com. 6 июня 2012 г. Получено 8 июня 2012 г.
  4. ^ "LinkedIn занят расследованием". The Economic Times . 10 июня 2012 г. Получено 20 июля 2012 г.
  5. ^ "Обновление: Linked in подтверждает, что он взломан". Pc world.com. 6 июня 2012 г. Архивировано из оригинала 14 сентября 2012 г. Получено 8 июня 2012 г.
  6. ^ "Защита наших участников". LinkedIn . Получено 25 мая 2016 г.
  7. ^ "Хакеры слили LinkedIn 700 миллионов данных". TheRecord.media. 22 сентября 2021 г. Получено 25 сентября 2021 г.
  8. ^ "LinkedIn страдает от утечки данных — эксперты по безопасности". Reuters. 6 июня 2012 г. Архивировано из оригинала 6 ноября 2014 г. Получено 8 июня 2012 г.
  9. ^ Кингсли-Хьюз, Адриан. «Приложение LinkedIn для iOS извлекает имена, электронные письма и заметки из вашего календаря». Forbes.com . Получено 8 июня 2012 г.
  10. ^ "Проблемы конфиденциальности приложения LinkedIn iOS беспокоят людей". Mashable.com. 6 июня 2012 г. Получено 8 июня 2012 г.
  11. ^ Гун, Адитья (2017). «Криптографические последствия утечки данных LinkedIn». arXiv : 1703.06586 [cs.CR].
  12. ^ «Утечка паролей LinkedIn... Конгресс немедленно хочет «что-то сделать!»». Techdirt.com. 7 июня 2012 г. Получено 8 июня 2012 г.
  13. ^ Сассо, Брендан (6 июня 2012 г.). «Законодатели обеспокоены сообщением о краже паролей LinkedIn». Hillicon Valley . Получено 25 июля 2012 г.
  14. ^ "Хакер утверждает, что украл миллионы паролей". The Mercury News . Получено 7 июня 2012 г.
  15. ^ "Более 6 миллионов зашифрованных паролей LinkedIn утекли в сеть" (пресс-релиз). Маргейт, Флорида : PRWeb . Архивировано из оригинала 16 ноября 2015 г. Получено 18 апреля 2013 г.
  16. ^ "LinkedIn подали в суд на 5 миллионов долларов за взломанные пароли". The News Tribe.com. 21 июня 2012 г. Получено 23 июня 2012 г.
  17. ^ ab Constantin, Lucian (6 марта 2013 г.). «LinkedIn выигрывает отклонение иска о возмещении ущерба за массовую утечку паролей». PC World . IDG News Service . Получено 3 апреля 2012 г. .
  18. ^ "ФБР поможет LinkedIn". Gadgets.NDTV.com. 8 июня 2012 г. Получено 8 июня 2012 г.
  19. ^ "LinkedIn взломан". Fox10TV.com . Получено 8 июня 2012 г.
  20. ^ Трещанин, Дмитрий; Щетко, Ник (20 октября 2016 г.). «Эксклюзив: цифровой след выдает личность задержанного в Праге российского «хакера». RadioFreeEurope/RadioLiberty .
  21. ^ «США обвиняют российского хакера в краже данных LinkedIn». RadioFreeEurope/RadioLiberty . 22 октября 2016 г.
  22. ^ Стоун, Джефф (29 сентября 2020 г.). «Хакер LinkedIn Никулин приговорен к 7 годам тюрьмы после многих лет судебных тяжб». Архивировано из оригинала 29 сентября 2020 г. Получено 23 ноября 2020 г.