Serviço gratuito verifica se sua senha do LinkedIn vazou

Desenvolvedores de Nova Iorque criaram uma aplicação para ajudar as pessoas a verificarem se sua senha do LinkedIn estava entre as mais de 6.5 milhões de combinações que foram expostas e publicadas em um fórum russo.

O vazamento, revelado esta quarta-feira (6), é relevante por conta da quantidade de informações pessoais detalhadas armazenadas no serviço, permitindo que usuários mal intencionados possam espalhar ataques phishing em executivos de alto nível ou espalhar links maliciosos. O LinkedIn está avisando alguns usuários para que redefinam suas senhas, contudo há outra maneira de saber se sua conta foi comprometida.

O LeakedIn converte a senha da pessoa em texto para sua representação criptográfica correspondente, utilizando um algoritimo SHA-1. Essa conversão é feita no próprio navegador a partir de Java Script, e não transmite a senha para nenhum outro lugar, escreveu Chris Shiflet, um dos desenvolvedores do aplicativo em seu blog.

Depois disso, o LeakedIn verifica se a combinação está presente entre os hashes (sequências alfanuméricas criptografadas) que vazaram. Nem todos os dados criptografados na lista já foram convertidos para as senhas originais, porém a equipe está trabalhando nisso. “Descobri que minha senha não era apenas a única entre as 6.5 milhões que foram vazadas, mas também estava entre aquelas que foram crackeadas. Eu era uma vítima”.

As combinações criptografadas podem ser convertidas para texto ao utilizar poderosos processadores gráficos e ferramentas gratuitas para crackear senhas (como um recurso chamado ‘John the Ripper’, ou John o Estripador, em tradução livre), que podem ser utilizados em PC comum. O tempo necessário para completar o processo depende da complexidade da senha. Outro método é um ataque com “força bruta”, no qual os programas tentam rapidamente diversas combinações de senha, esperando conseguir uma combinação correta. Essa tática consome mais tempo, mas é voltada a senhas maiores e mais complexas.

A empresa de segurança Sophos determinou que haviam 5.8 milhões de hashes únicos entre as 6.5 milhões de senhas, depois que as duplicatas foram eliminadas. Entre essas, cerca de 60% foram codificadas utilizando força bruta, escrever Chester Wisniewski, assessor de segurança da companhia.