A maior rede social de negócios, o LinkedIn, informou no último dia 6 de junho que mais de seis milhões de senhas de usuários foram comprometidas. Em uma publicação em seu blog o LinkedIn informou que ainda investiga o ocorrido.
A falha de segurança foi confirmada pela empresa Inglesa Sophos, que informou que um arquivo publicado online, em um fórum na Russia, continha senhas do LinkedIn em formato "hash" (SHA-1), uma forma de criptografar ou armazenar senhas de maneira protegida.
Segundo David Goldman da CNNMoneyTech, o problema com SHA-1 é que a técnica converte textos iguais em códigos iguais, no mesmo formato. Isso facilita o processo inverso de descoberta de senhas, pois hashes [texto criptografado] de senhas iguais são iguais e basta saber uma senha para descobrir automaticamente a outra, afirma Goldman.
É por isso que especialistas em segurança recomendam que as empresas com cadastros gigantescos de dados privados, como o LinkedIn, adicionem uma camada de segurança adicional denominada "salt".
O salt acrescenta aleatoriamente outro elemento de informação à senha. Pode ser o nome do usuário, o primeiro nome ou mesmo um número aleatório. O objetivo é alterar o texto o suficiente para torná-lo quase impossível de se descobrir a partir do hash.
Qualquer empresa que utiliza SHA-1, sem o uso de salting para proteger as senhas de seus usuários, está se sujeitando a um grande risco. Per Thorsheim chefe de segurança da informação e conselheiro da empresa de serviços de tecnologia da informação na Noruega, EVRY, declarou para David Goldamn no CNNMoneyTech:
Já vimos essa situação outras vezes. O uso do salt deve ser um requisito mínimo para a segurança.
Antes de confirmar esta violação de segurança, o LinkedIn publicou dicas de segurança em seu blog. A empresa orientou ainda que os usuários alterem suas senhas com frequencia, pelo menos uma vez a cada trimestre, e que evitem o uso de senhas idênticas em vários sites.
O LinkedIn trabalha junto ao FBI na investigação desta violação de segurança, mas, até a publicação desta nota, ainda não foi identificado o responsável pelo ataque relatado.