Mint ismeretes, a napokban nagyszabású támadás áldozatává vált a LinkedIn portál. A hírek szerint 6.5 millió felhasználó adata került illetéktelen kezekbe. Június 6-án már egyértelm?vé vált az is, hogy az ellopott jelszavak orosz weboldalakon, fórumokon jelentek meg. A LinkedIn nem nyilatkozott egyértelm?en, ezért elképzelhet?, hogy amennyiben a támadóknak sikerült a jelszavakhoz hozzáférniük, akkor a tulajdonosok e-mail címeivel is rendelkeznek. A LinkedIn közösségi oldal, leginkább az üzleti kapcsolatok fentartására szolgál, ebben különbözik az olyan közösségi oldalaktól, mint a Facebook vagy az iWiW, melyek leginkább a hétköznapi kapcsolattartást segítik el?. További fontos különbség, hogy a Facebook-on tetsz?leges kitöltött vagy éppen üresen hagyott személyes mez?kkel rendelkezünk, illetve adatvédelmi beállításainktól függ?en publikusak adataink, ezzel szemben a LinkedIn profilok kifejezetten a karrierrel kapcsolatos hírek, szakmai tervek, információk terepe, ezen a felületen mindenki valódi névvel, valós információkat szolgáltat magáról, és üzleti kapcsolatairól. - A veszély így jóval nagyobb, emiatt is javasolják az ESET szakemberei, hogy a hazai felhasználók is ellen?rizzék és változtassák meg a belépési adataikat, hiszen a Zoomsphere legfrissebb adatai szerint Magyarországról már legalább 230 ezren használják a LinkedIn közösségi weboldalt (http://www.zoomsphere.com/charts/linkedin/countries/hu) figyelmeztet Béres Péter, az ESET termékeit Magyarországon képvisel? Sicontact Kft. vezet? IT tanácsadója. A weboldal üzemeltet?i nem csak abban hibáztak, hogy a jelszólopási incidens egyáltalán megtörténhetett, hanem - mint kés?bb kiderült - a jelszavak kódolt tárolásánál is: az úgynevezett SHA-1 algoritmust szimplán használva nem támaszkodtak olyan megbízható kiegészít? technikákra, mint például a feltöréseknek jóval ellenállóbb úgynevezett Salted eljárás, amely segít megnövelni a jelszó hash hosszát, és egyúttal a bonyolultságát is. Ezt a módszert kimondottan jelszavak tárolásánál alkalmazzák, éppen annak megnehezítésére, hogy az összes felhasználó jelszavát túl könnyen és gyorsan feltörjék. Az üzemeltet?k egyébként az FBI segítségét kérték a biztonsági incidens alapos és részletes kivizsgáláshoz. Mindenesetre az eset komoly következményekkel járhat, így a LinkedIn-nek minden er?feszítésére szükség lesz, hogy helyreállítsák befektet?ik, hirdet?ik, és nem utolsósorban felhasználóik beléjük vetett bizalmát. Gyakorlati tanácsok az érintetteknek El?ször is nagyon fontos, hogy jelszavukat haladéktalanul változtassák meg. A kell?en er?s jelszó egyedi (azaz sehol máshol nem használjuk), hosszú (magyarul 10-12 karakternél nem rövidebb), változatos (egyaránt tartalmaz kis- és nagybet?ket, számokat, valamint speciális írásjeleket is, például -+'"+!%/=_#&();?.÷-_karaktereket), és nem kitalálható személyes információinkból (nem kutyánk, családtagunk neve, nem közösségi oldalról bárki által leolvasható születési dátumunk, hanem lehetúleg véletlenszer?en generált: például paiK#debt=maRry88). A jelszavakkal kapcsolatos tudnivalókról itt olvashatnak b?vebben: http://pcworld.hu/a-virusok-varazslatos-vilaga-36-egy-a-jelszonk-a-beke123-20100903.html A LinkedIn account mellett azoknak, akik esetleg éppen az ott használt e-mail levelezési fiókjuknál, vagy bárhol máshol mégis ugyanezt a jelszót használták, úgy ott azokon a helyeken is érdemes haladéktalanul a jelszóváltoztatást végrehajtani, hiszen az is gyakori forgatókönyv, hogy a megszerzett jelszó birtokában a támadók tulajdonos minden ismert levelezési, közösségi oldali, és egyéb fiókját végigpróbálgatják, hátha azonos jelszóval használta. Érdemes a kés?bbiekben arra is figyelni, hogy minden rendkívüli esemény: árvíz, földrengés, sportesemény, híresség halála, esküv?je, stb. nyomán kéretlen üzeneteket küldenek ki a támadók, és a levélben mellékelt linkekre való kattintással adatokat lopnak, kémprogramot telepítenek a gyanútlan felhasználók gépeire. Cameron Camp, az ESET észak-amerikai központjának biztonsági kutatója szerint ennek az incidensnek a nyomán is máris elindultak azok az átverési spamkampányok, amelyben a csalók látszólag a LinkedIn üzemeltet?inek nevében írnak levelet nekünk, hogy er?sítsük meg egy mellékelt linkre kattintva az e-mail címünket. Ilyenkor nem szabad bed?lni, ne kattintson senki, hiszen az ESET labor által vizsgált levelek esetében is jól látható volt, hogy az állítólagos hivatalos értesít? levélben nem a LinkedIn-re, hanem egy teljesen más, idegen webhelyre mutat a bizonyos link. forrás Prim Online, 2012. június 11. 13:26 http://hirek.prim.hu/cikk/2012/06/11/az_eset_biztonsagi_tanacsai_a_linkedin_incidens_kapcsan
