Un hacker, con el nick de dwdm ha publicado durante los últimos días en foros especializados de crackeo de varios millones de contraseñas encriptadas con SHA-1. Estas contraseñas se sospecha ha confirmado que provienen tanto de Linkedin como de la web de citas online eHarmony.

linkedin

Aunque no se tiene la certeza total del número de contraseñas que pertenecen a Linkedin, muchos usuarios ya han identificado sus contraseñas entre los 6.5 millones de hashes SHA-1 que por el momento se atribuyen a usuarios de Linkedin. Se supone que este hacker bajo el seudónimo de dwdm se ha servido de estos foros de crackeo para pedir ayuda para crackear aquellos hashes que el mismo no era capaz (ahora mismo la inmensa mayoría de la lista ya se encuentra crackeada), cosa nada extraña ya que dentro de la scene no es algo generalizado el disponer de los recursos suficientes (tablas y recursos computacionales) para crackear tan ingente cantidad de hashes en un tiempo razonable.

En una segunda lista, se han posteado otros 1.5 millones de hashes MD5 que ya han sido crackeados en su totalidad y se atribuyen al web de citas eHarmony ya un número significativo de estas contraseñas crackeadas contienen "eharmony" o "harmony".

Posiblemente dwdm tenga en su poder también los nombres de usuario (no distribuidos juntamente con los hashes) por lo que en estos mismos instantes se podría estar produciendo un robo masivo de cuentas de Linkedin, por lo ahora más que nunca es un buen momento para que cambiéis vuestras contraseñas (a ser posible por una contraseña compleja). El staff de Linkedin en un tweet ha comunicado que se encuentra investigando el robo de contraseñas.

Este es un gran ejemplo de la importancia de utilizar contraseñas complejas, mezclando letras en mayúscula y minúscula, dígitos y caracteres alfanuméricos ya que una contraseña simple tipo "ejemplo1" puede ser crackeada en milisegundos o en algo más de tiempo según el sistema de encriptación, pero siempre será mucho más facil de crackear que una del tipo "Ej#emp!o0", todos los que hayáis usado por ejemplo rainbow tables sabréis bien de que hablo.

Actualización
---------------

Finalmente Linkedin ha admitido el fallo de seguridad y ha desactivado las cuentas afectadas, remitiendo a sus usuarios un email donde se les invita a cambiar su contraseña. Además se les comenta que si usaban la misma contraseña para diversas webs, que esto en ningún caso es una buena práctica.