En passwordfil med drygt 6 miljoner lösenord (ok, hashar) som påstods komma från LinkedIn dök upp under dagen. Under ett antal timmar sa LinkedIn inget alls, sedan sa de att de inte visste något, därefter att de höll på att undersöka.
Nyss kom ett något rakare besked från dem där de bekräftar att några av lösenorden i filen matchar LinkedIn-konton. Märklig formulering, är det meningen att vi ska tro att det bara var ett fåtal lösenord som kom från LinkedIn och resten någon annanstans ifrån?
Sedan berättar de om vad de vidtagit för åtgärder. Till att börja med har de låst de konton som drabbats och skickat ett mail till dem med instruktion om hur de kan aktiveras. Det låter bra, men hur vet de vilka konton som drabbats? Har de matchat filen med lösenorden i deras egen databas? I så fall, hur vet de att filen som släpptes idag inte bara var en sample, det var trots allt ”bara” 6.4 miljoner lösenord men LinkedIn har runt 160 miljoner användare.
De säger inget om hur det gått till, vilket man skulle kunna tolka som att de inte har en aning och att det säkerhetshål som utnyttjats alltså finns kvar.
Däremot påpekar de att de nu infört ”enhanced security”, ”which includes hashing and salting”. Hallå, det är inte ”enhanced”, det är grundkursen. Jag är iofs förtjust i mottot ”Gör om, gör rätt”, men när det gäller inloggning och att säkra användaruppgifter måste man göra rätt från början.
Förhoppningsvis kommer det mer info, så här långt skulle deras förklaring på sin höjd duga som dåligt exempel på krishantering.
Naturligtvis har man ett ansvar som användare också, till exempel bör man välja ett bra lösenord. Jag kunde inte låta bli att testa några typiska lösenord mot filen. ”hej123”, ”sommar”, ”stockholm” och ”password” var några jag hittade. Gissningsvis använder dessa personer samma lösenord på andra sajter också. Det är som att ge kopior av sina husnycklar till alla man möter på gatan och därefter bli jätteförvånad över att man haft inbrott.