Przed dwoma tygodniami świat obiegła informacja o kolejnym gigantycznym wycieku informacji. Tym razem ofiarą padł gigant networkingu zawodowego – LinkedIn. W całej sprawie nie byłoby nic aż tak interesującego, gdyby nie ostatnie dyskusje reprezentantów firmy z dziennikarzami, prowadzone – a jakże – na łamach mediów elektronicznych.

Dla przypomnienia – bomba wybuchła 6 czerwca, kiedy to rosyjski haker ogłosił, że jest w posiadaniu dokładnie 6.458.020 zahashowanych haseł użytkowników LinkedIn-a. Hashe zostały wrzucone na jedno z forów dyskusyjnych poświęconych zabezpieczeniom. Ich autentyczność została potwierdzona przez licznych użytkowników, którzy w zbiorze odnaleźli hashe swoich haseł używanych na LinkedIn-ie. Nie jest do końca pewne, czy haker zdołał również wykraść odpowiadające hasłom nazwy użytkowników. Niemniej jednak zarówno sam LinkedIn, jak i szereg innych serwisów, rekomendowały użytkownikom zmianę haseł, przy okazji zachęcając ich do ustawienia trudniejszej do złamania kombinacji.

Pierwsze kontrowersje rozgorzały niedługo po ujawnieniu zbioru. Wypowiadali się głównie specjaliści od bezpieczeństwa IT, a ich przedmiotem był stopień zabezpieczenia haseł użytkowników, stosowany przez LinkedIn. Hasła zostały zakodowane przy użyciu algorytmu SHA-1, ale bez użycia tzw. „soli”. Dla niezorientowanych dwa słowa wyjaśnienia – „sól” jest dodatkowym ciągiem znaków dodawanym do szyfrowanej informacji, tak aby zwiększyć rozmiar danych do zakodowania, a tym samym zwiększyć stopień ich bezpieczeństwa (rośnie bowiem ilość niezbędnych prób do złamania hasła używając np. metody „brute force”). W omawianej sprawie na forach wyrażano zdziwienie, że przy całej skuteczności SHA-1 (w rozsądnych granicach – o słabościach tego algorytmu można poczytać tutaj), LinkedIn nie pokusiło się o dodatkowe „zasolenie” haseł, np. hashując je raz, dodając do tak otrzymanego ciągu „sól”, a następnie hashując je ponownie.

Tymczasem ostatnie rewelacje mediów wydają się pośrednio odpowiadać na pytanie, dlaczego tak się stało. Nie dalej niż kilka godzin temu, serwisy zajmujące się tematyką bezpieczeństwa podały, że LinkedIn nie ma szefa informatyki (CIO – Chief Information Officer) ani też szefa bezpieczeństwa IT (CISO – Chief Information Security Officer)! Dla porównania – co najmniej dwa gigantyczne wycieki danych z ostatnich lat (dotyczące RSA oraz Sony) miały miejsce w sytuacji, w której firmy te również nie zatrudniały CISO (aczkolwiek miały CIO). Nie ulega wątpliwości, że serwis, którego podstawowym dobrem jest informacja o jego użytkownikach, podszedł do ochrony tejże informacji w dość nonszalancki sposób, co na pewno nie pozostanie bez wpływu na jego reputację.

Wprawdzie ciężko rozpatrywać ten przypadek w kategoriach kradzieży danych sensu stricte, jako że wiele informacji o użytkownikach LinkedIn jest dostępnych publicznie w ramach tzw. profili publicznych, a zdecydowana większość pozostałych informacji (ale nadal nie wszystkie!) jest dostępnych dla znajomych co najmniej 2-eg poziomu, nie znaczy to jednak, że dostając się na czyjeś konto nie można uzyskać informacji nie przeznaczonych do publikacji (choćby danych kontaktowych). Dodatkowo, należy zauważyć, że w dobie ogromnego znaczenia tego rodzaju mediów społecznościowych w kreowaniu zawodowego wizerunku użytkownika, odpowiednia „modyfikacja” zawartych tam informacji może w skrajnych przypadkach na długo wyeliminować ofiarę z aktywnego życia zawodowego.

LinkedIn bronił się przed zarzutami, najpierw argumentując, że za obszar bezpieczeństwa odpowiada wiceprezes ds. operacji, David Henke, a później dodając do tego, że członkiem zespołu bezpieczeństwa serwisu jest Ganesh Krishan, zatrudniony wcześniej na stanowisku CISO w Yahoo!. Jak stwierdził rzecznik serwisu, Krishan jest prawdziwym „carem bezpieczeństwa” i posiada wszystkie niezbędne CISO kwalifikacje. Tłumaczył także, że firma unika zbytniego nagromadzenia najwyższego kierownictwa z literką „C” (od Chief) w nazwie, zachowując ten przywilej jedynie dla dyrektora zarządzającego (CEO) oraz dyrektora finansowego (CFO). Jednakże kontra przeciwników LinkedIn-a była natychmiastowa – wytknięto, iż Krishan jest szefem całego centrum danych LinkedIn w Indiach, zatem siłą rzeczy jego obowiązki w zakresie bezpieczeństwa są ograniczone.

Tym samym, incydent wycieku danych, będący kryzysem korporacyjnym samym w sobie, jeszcze powiększył swoje rozmiary po ujawnieniu podejścia LinkedIn do ochrony danych. Można wszak powiedzieć, że serwisy społecznościowe, a serwisy zawodowe zwłaszcza, powinny być swego rodzaju instytucjami zaufania publicznego, a ochrona danych ich użytkowników powinna stanowić dla nich najwyższy priorytet. Cóż, nie można wprawdzie zarzucić LinkedIn wprost, że zaniedbało ten obowiązek, ale wątpliwości pozostają…

Dla osób zaniepokojonych, że także ich hasło mogło paść ofiarą hakerów, powstała specjalna strona o przewrotnej nazwie LeakedIn. Można tutaj wpisać swoje hasło do konta LinkedIn, a strona wygeneruje automatycznie hash hasła i porówna go z bazą ujawnionych haseł.