En kjempepakke på 6,5 millioner krypterte passord er lagt ut på et russisk nettsted. Personen som har lagt dem ut ber om hjelp til å knekke dem, og tilbakemeldingene tyder på at rundt 300.000 passord er knekket og lagt ut så langt. Ett navnt dukker opp i passordene besynderlig ofte.
- Jeg har sett på de passordene som er knekket og det er veldig mye "Linkedin", sier Jan Roger Wilkens, produktsjef ved Telenor SOC, Telenors døgnbemannede sikkerhetssenter.
Han ble tidligere i dag varslet om lekkasjen av passordekspert Per Thorsheim i Evry.
Les også: - Bytt passord på Linkedin, nå!
Kan avsløre Facebook-passord
Wilkens understreker at de ikke kan være sikre på at passordene stammer fra Linkedin, men sier det er relativt vanlig at folk velger å bruke nettstedet man bruker som en del av passordet.
- Det er mange som lager passord der de bruker en passordstamme, et løpetall og navnet på nettstedet, for å huske det lettere, sier Wilkens.
Dette er slett ikke anbefalt praksis.
- Det er ikke en god strategi, folk kan jo bare bytte ut nettstednavnet med "Facebook", så har de det passordet også, sier han.
Han påpeker dessuten at mange bruker samme passord på ulike nettsteder, så en lekkasje av denne dimensjonen kan få følger langt utenfor det nettstedet som er direkte rammet.
Bytt passord!
Wilkens sier han har varslet om hendelsen via alle kanaler han har tilgjengelig, inkludert Twitter og nyhetsbrev. Selv om han ikke er helt sikker på at Linkedin er kilden til passordene er indisiene sterke nok til å handle.
- Personlig så byttet jeg passoret med en gang. Jeg anbefaler alle andre å gjøre det, sier han.
Å bytte passord på Linkedin trenger ikke være nok advarer finske Cert.
- Bytt Linkedin-passord øyeblikkelig. Passordet må også endres på andre tjenester der du bruker samme passordet. Det anbefales ikke å bruke samme passord på flere tjenester, advarer Cert. (nettside på finsk)
Ikke alle?
Wilkens påpeker at Linkedin har over 160 millioner brukere, mens det bare er 6,5 millioner passord i basen. Mange kan ha samme passord, men han stiller spørsmålstegn ved om alle passordene er lekket - hvis Linkedin er kilden.
- Det kan være de har funnet alle de enkleste passordene selv, og bare lagt ut de mer kompliserte, sier han.
Men selv mener han å ha et ganske komplisert passord - og han fant ikke spor av det blant de 6,5 millionene som er lagt ut. En bekjent fant derimot sitt passord.
- Han hevder det kun ble brukt til Linkedin, og at det var ganske spesielt, sier han.
Dette er en indikasjon på at passordene kan stamme fra Linkedin, men ikke noe endelig bevis. Passordet som ble funnet kan nemlig ha vært brukt av andre på et annet nettsted.
På Twitter har det kommet rapporter både fra folk som har funnet sitt passord i databasen og en del som ikke har det.
At noen skal ha funnet på 6,5 millioner passord-"hasher" for moro skyld mener Wilkens virker lite sannsynlig. Så uansett hvem kilden er så er det trolig en massiv passord-lekkasje på gang.
Linkedin har foreløpig ikke svart på DN.nos henvendelser
Les også: - Bytt passord på Linkedin, nå! (Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.