Een bestand met bijna 6,5 miljoen hashcodes is twee dagen geleden online gedumpt. Het gaat om wachtwoorden van LinkedIn-gebruikers. Het gaat om een gecomprimeerd txt-bestand, dat ook in handen van Webwereld is.

De wachtwoorden zijn versleuteld met het SHA-1 algoritme, en de hashes zijn unsalted, dus relatief eenvoudig te kraken is, onder meer met online tools.

Usernames (nog) niet gelekt

De wachtwoorden zijn niet gekoppeld aan username, maar aangezien die in dezelfde database staan moet er vanuit worden gegaan dat ook die door hackers zijn bemachtigd, vertelt Ronald Prins, directeur van securitybedrijf Fox-IT, aan Webwereld. Ook de hashcode van het wachtwoord van Prins staat in het gelekte bestand, bevestigt hij.

Ook anderen melden op Twitter dat hun versleutelde wachtwoord is gelekt. De gelekte database zou al wel 7 a 8 maanden oud zijn. Maar aangezien de meeste gebruikers hun wachtwoord niet regelmatig (of helemaal nooit) wijzigen, is het lek zeer serieus.

Dringend advies: wijzig wachtwoord

De Noorse IT-site Dagens IT maakte eerder vandaag als eerste melding van het lek, dat is onderzocht door de security-expert Per Thorsheim.

Thorsheim en ook Prins van Fox-IT raden LinkedIn-gebruikers aan om hun wachtwoord te wijzigen. Prins voegt daar aan toe: “Als je dat wachtwoord ook voor andere sites gebruikt, moet je het dus ook op die andere sites wijzigen."

UPDATE: LinkedIn zegt in een verklaring de zaak te onderzoeken. Het sociale netwerk heeft naar eigen zeggen ruim 160 miljoen leden.

UPDATE 2: Inmiddels bevestigt LinkedIn dat het wachtwoord van 'sommige gebruikers" is gelekt. Deze krijgen een mail met instructies. Hoe de database is bemachtigd is nog niet bekend. LinkedIn biedt zijn excuses aan.