LinkedInソーシャルネットワークで1億6700万のユーザーアカウントを販売するというオファーが、「シャドウインターネット」The Real Dealの人気のある取引プラットフォームの1つに登場しました。 このうち、1億1,700万人がパスワードをハッシュ化していますが、パスワードを解読するのはそれほど難しくありません。 LinkedInが最後にその作業に関する情報を公開したとき、合計4億3,300万人のユーザーがデータベースに登録されたと報告されました。
データベースには、ユーザーID、電子メール、およびパスワードハッシュが含まれています。 ハッカーは、このデータベースに5 BTC(約2270ドル)のみを要求し、データベースで必要な電子メールを検索することで信頼性を確認することを約束します。
データベースを調査しているセキュリティの専門家は、その真正性を確認し、この情報が2012年にLinkedInから漏洩したことを示しています。 当時の巨大なリークにより、650万アカウントのパブリックドメインが出現しました。 しかし、その後ソーシャルネットワークはリークを確認せず、影響を受けたユーザーの数を報告せず、頑なに沈黙を保っていたため、この話は忘れられました。
専門家は、パスワードハッシュは「塩」のないSHA1であるため、最新の機器でのパスワードハッシュの選択は非常に可能だと警告しています。 LeakedSourceサイトは、とりわけこの漏れやすいデータベースを持ち、誰でもデータベース(10億を超えるエントリを含む)でユーザー名または電子メールアドレスを検索できます。 しかし、いずれにせよ、2012年以降のユーザーはパスワードを変更する必要があり、さらにリークの報告後にはパスワードを変更する必要がありました。
ネットワークは、セキュリティ対策を強化し、ハッシュソルトと二要素認証を導入したことをユーザーに保証するステートメントを発行しました。すべてのユーザーがセキュリティ目的で使用することを推奨します。
Real Dealウェブサイトは、隠れたTorサービスとして動作します。 これは、取引から関心を引き、エスクローサービスを提供する市場です。 漏洩したデータに加えて、薬物、武器、偽物、その他の違法商品などの物理的な製品だけでなく、さまざまなエクスプロイトをサイトで購入できます。