Wat u moet weten over de grote hack bij LinkedIn

Technologiewebsite Motherboard maakte woensdag bekend dat hackers de accounts van bijna 170 miljoen LinkedIn-gebruikers te koop hebben aangeboden. Van 117 miljoen van hebben hebben ze de e-mailadressen en versleutelde wachtwoorden in handen.

De gegevens worden door Russische hackers aangeboden op TheRealDeal, een website op het dark web (een afgeschermd deel van het internet dat door veiligheidsdiensten niet te monitoren is), vertelde hacker 'Peace' aan Motherboard. Voor 5 Bitcoins (ongeveer 2200 euro) staat de data in de digitale etalage.

Wat kunnen criminelen met deze gegevens?

Hackers hebben verschillende motieven om dit soort gegevens te stelen. Het kan zijn om het getroffen bedrijf af te persen. In ruil voor geld worden de data niet openbaar gemaakt. Ook gebeurt het dat de hack gebruikt wordt om de eigen diensten als 'beveiligingsexpert' aan te bieden. Wie een lek kan vinden, kan het vaak ook wel dichten. Veel van deze hackers zijn vooral op zoek naar erkenning en de kick van het vinden van gaten in de beveiliging.

De data gewoon verkopen is echter ook een optie. Andere internetcriminelen hebben belang bij de data om ze te gebruiken voor onder meer phishing en spam, legt Jaap-Henk Hoekman van het Privacy en Identity Lab van de Radboud Universiteit uit op de website van de Volkskrant. Met bijvoorbeeld de gegevens van het hoofd P&O van Philips is het gemakkelijker om een mail met malware naar de CEO van het bedrijf te sturen. Hoekman: ,,Mensen vertrouwen berichten die ze van bekenden via LinkedIn ontvangen."


De advertentie voor de LinkedIn-data op TheRealDeal. Bron: motherboard.vice.com.

Hoe groot is de kans dat mijn gegevens ook gehackt zijn?

Als u na juni 2012 een account heeft aangemaakt: 0,0. Volgens LinkedIn zijn er namelijk sinds de hack in 2012 geen nieuwe sucesvolle inbraken geweest. Wie daarvoor al een account had bij de netwerksite heeft grote kans dat zijn gegevens nu in Russische handen zijn. LinkedIn had naar eigen zeggen in 2012 ongeveer 250 miljoen leden. Van 117 daarvan zijn dus daadwerkelijk e-mailadressen en wachtwoorden gestolen. Statistisch gezien is de kans dus iets minder dan 1 op 2 dat uw gegevens daar tussen zitten. Van 6,5 miljoen gebruikers was al bekend dat hun gegevens waren gestolen. Zij zijn in 2012 door de netwerksite ingelicht.

Stel ik zit tussen die 117 miljoen. Wat dan?

Of er misbruik van de gegevens gemaakt is, is onbekend. Maar veel mensen vinden het geen fijn gevoel dat hun privégegevens in vreemde handen zijn. Een van de getraceerde slachtoffers van de hack verklaarde, anoniem, tegenover Motherboard dat ,,het voelt alsof iemand je eigen ruimte binnen kan komen, zonder dat je het weet en wanneer hij er zelf zin in heeft."

Hoe bruikbaar de gegevens zijn, hangt overigens af van hoe 'vers' de wachtwoorden zijn. Wie regelmatig zijn wachtwoord wijzigt, loopt volgens LinkedIn weinig gevaar. Wie dat de afgelopen vier jaar niet gedaan heeft en door LinkedIn in de gehackte lijst wordt gevonden, krijgt het dringende verzoek om zijn wachtwoord te wijzigen. Ook speuren programma's de getroffen accounts af om verdachte activiteiten te ondervangen.

Kan ik me wapenen tegen een hack?

Wie zijn gegevens achterlaat bij een webdienst, loopt het risico dat ze gehackt worden. Of men er vervolgens wat mee kan, hangt af van hoe sterk een wachtwoord is. Het is dus raadzaam om een sterk wachtwoord te gebruiken met letters, cijfers en leestekens en van een behoorlijke lengte. Regelmatig verversen is ook verstandig, net als dubbele identificatie met bijvoorbeeld een mobiel nummer of beveiligingsvraag.

Het belang van een sterk wachtwoord

Ieder wachtwoord is te kraken maar het ene wel een stuk lastiger dan het andere. Dat heeft te maken met hoe de wachtwoorden worden versleuteld.

LinkedIn gebruikte in 2012 SHA-1, een verouderde manier van encryptie. Een algoritme husselt de tekens door elkaar, dit wordt 'hashing' genoemd. Zie het als het balkje bij scrabble. Als daar de letters 'e, k, w, o, l en m' op staan, kan een beetje speler daar zomaar het woord 'welkom' van leggen. Het algoritme krijgt daarom vaak een extra toevoeging, 'salt' genoemd. Dit zijn extra tekens die het iets moeilijker maken een woord te vormen omdat een deel van de tekens enkel ruis is. LinkedIn maakte daar echter geen gebruik van in 2012. 

Sterke wachtwoorden kunnen alleen met heel veel gepuzzel uit de tekens gevormd worden. Alleen door combinaties te maken, zijn ze te kraken. Hoe langer een wachtwoord hoe moeilijker het te kraken is. 'Welkom' is te maken uit 720 combinaties van 6 letters. 'Welkom01' kent al 40.320 combinaties. 'Welkomgehetenworden' kent 120 biljard verschillende combinaties.

Maar zijn 720 combinaties echt nodig om 'welkom' te achterhalen? De eerste combinatie die de meeste mensen maken als ze op hun scrabble-plankje 'e, k, w, o, l en m' zien, is 'welkom'. Zo gaat het ook met het kraken van 'gehashte' wachtwoorden. 'Welkom' is, omdat het zo voor de hand liggend is, dus geen sterk wachtwoord. Net zo min als '123456', 'qwerty' of 'password'.

Laten die drie wachtwoorden nou net wel in de top 10 staan van meestgebruikte wachtwoorden in de trits van 117 miljoen gestolen LinkedIn-wachtwoorden, zo ontdekte de website leakedsource die voor een ieder de data uit de LinkedIn-hack doorzoekbaar gemaakt heeft.

Toon reacties

Mis niets van het regionale nieuws. Ontvang onze dagelijkse nieuwsupdate, helemaal gratis.

Meer dan 22.249 nieuwsbriefabonnees

Je kunt je op elk moment weer uitschrijven

Lees hier ons privacy statement