stringtranslate.com

Hackeo de LinkedIn en 2012

El hackeo de LinkedIn de 2012 se refiere al ataque informático a LinkedIn que tuvo lugar el 5 de junio de 2012. Se robaron las contraseñas de casi 6,5 millones de cuentas de usuario. Yevgeniy Nikulin fue declarado culpable del delito y condenado a 88 meses de prisión.

Los propietarios de las cuentas pirateadas no pudieron acceder a ellas. LinkedIn dijo, en un comunicado oficial, que enviaría un correo electrónico a los miembros con instrucciones sobre cómo restablecer sus contraseñas. En mayo de 2016, LinkedIn descubrió otros 100 millones de direcciones de correo electrónico y contraseñas que habían sido vulneradas en la misma vulneración de 2012.

Historia

El hack

El sitio web de redes sociales LinkedIn fue hackeado el 5 de junio de 2012 y las contraseñas de casi 6,5 millones de cuentas de usuario fueron robadas por cibercriminales rusos . [1] [2] Los propietarios de las cuentas hackeadas ya no pudieron acceder a sus cuentas y el sitio web alentó repetidamente a sus usuarios a cambiar sus contraseñas después del incidente. [3] Vicente Silveira, el director de LinkedIn, [4] confirmó, en nombre de la empresa, que el sitio web fue hackeado en su blog oficial. También dijo que los titulares de las cuentas comprometidas descubrirían que sus contraseñas ya no eran válidas en el sitio web. [5]

En mayo de 2016, LinkedIn descubrió 100 millones de direcciones de correo electrónico adicionales y contraseñas cifradas que supuestamente eran datos adicionales de la misma filtración de 2012. En respuesta, LinkedIn invalidó las contraseñas de todos los usuarios que no habían cambiado sus contraseñas desde 2012. [6]

Filtración

Una colección que contiene datos sobre más de 700 millones de usuarios, que se cree que fueron extraídos de LinkedIn, se filtró en línea en septiembre de 2021 en forma de archivo torrent después de que los piratas informáticos intentaran venderlo previamente a principios de junio de 2021. [7]

Reacción

Los expertos en seguridad de Internet dijeron que las contraseñas eran fáciles de descifrar debido a que LinkedIn no utilizó una sal al codificarlas, lo que se considera una práctica insegura porque permite a los atacantes revertir rápidamente el proceso de codificación utilizando tablas de arcoíris estándar existentes , listas prefabricadas de contraseñas codificadas y descifradas coincidentes. [8] Otro problema que provocó controversia fue la aplicación iOS proporcionada por LinkedIn, que toma nombres personales, correos electrónicos y notas de un calendario móvil sin la aprobación del usuario. [9] Los expertos en seguridad que trabajan para Skycure Security dijeron que la aplicación recopila los datos personales de un usuario y los envía al servidor de LinkedIn. LinkedIn afirmó que el permiso para esta función lo otorga el usuario y que la información se envía de forma segura utilizando el protocolo Secure Sockets Layer (SSL). La empresa agregó que nunca había almacenado ni compartido esa información con un tercero. [10] [11]

La representante Mary Bono Mack del Congreso de los Estados Unidos comentó sobre el incidente: "¿Cuántas veces va a suceder esto antes de que el Congreso finalmente se dé cuenta y tome medidas? Este último incidente vuelve a poner de relieve la necesidad de aprobar una legislación de protección de datos". El senador Patrick Leahy dijo: "Los informes de otra importante filtración de datos deberían hacer reflexionar a los consumidores estadounidenses que, ahora más que nunca, comparten información personal sensible en sus transacciones y redes en línea... El Congreso debería hacer de la legislación integral sobre privacidad de datos y delitos cibernéticos una prioridad máxima". [12] [13]

Marcus Carey, investigador de seguridad de Rapid7 , dijo que los piratas informáticos habían penetrado en las bases de datos de LinkedIn en los días anteriores. [14] Expresó su preocupación de que pudieran haber tenido acceso al sitio web incluso después del ataque.

Michael Aronowitz, vicepresidente de Saveology, afirmó: "Todos los días, cientos de sitios son pirateados y se obtiene información personal. El robo de información de inicio de sesión de una cuenta puede utilizarse fácilmente para acceder a otras cuentas, que pueden contener información personal y financiera". Los expertos en seguridad indicaron que las contraseñas robadas estaban cifradas de una manera que era bastante fácil de descifrar, lo que fue una de las razones de la filtración de datos. [15]

Katie Szpyrka, usuaria de LinkedIn desde hace mucho tiempo de Illinois , Estados Unidos, presentó una demanda de 5 millones de dólares contra LinkedIn, quejándose de que la empresa no cumplió sus promesas de proteger las conexiones y las bases de datos. Erin O'Harra, una portavoz que trabaja para LinkedIn, cuando se le preguntó sobre la demanda, dijo que los abogados estaban buscando aprovechar esa situación para volver a proponer los proyectos de ley SOPA y PIPA en el Congreso de los Estados Unidos . [16]

El 26 de noviembre de 2012 se presentó una demanda enmendada en nombre de Szpyrka y otro usuario premium de LinkedIn de Virginia , Estados Unidos, llamado Khalilah Gilmore–Wright, como representantes de la clase para todos los usuarios de LinkedIn que se vieron afectados por la violación. [17] La ​​demanda buscaba medidas cautelares y otras medidas equitativas, así como restitución y daños para los demandantes y los miembros de la clase. [17]

Respuesta de LinkedIn

LinkedIn se disculpó inmediatamente después de la filtración de datos y pidió a sus usuarios que cambiaran inmediatamente sus contraseñas. [1] La Oficina Federal de Investigaciones ayudó a LinkedIn Corporation a investigar el robo. A fecha de 8 de junio de 2012, la investigación todavía estaba en sus primeras etapas y la empresa afirmó que no podía determinar si los piratas informáticos también pudieron robar las direcciones de correo electrónico asociadas a las cuentas de usuario comprometidas. [18] LinkedIn afirmó que los usuarios cuyas contraseñas se vieron comprometidas no podrían acceder a sus cuentas de LinkedIn utilizando sus contraseñas antiguas. [19]

Arresto y condena de sospechoso

El 5 de octubre de 2016, la policía checa detuvo en Praga al hacker ruso Yevgeniy Nikulin . Estados Unidos había solicitado una orden de arresto de la Interpol contra él. [20]

Un gran jurado de los Estados Unidos acusó a Nikulin y a tres co-conspiradores anónimos de cargos de robo de identidad agravado e intrusión informática. Los fiscales alegaron que Nikulin robó el nombre de usuario y la contraseña de un empleado de LinkedIn, utilizándolos para obtener acceso a la red de la corporación. Nikulin también fue acusado de piratear Dropbox y Formspring , supuestamente conspirando para vender datos robados de clientes de Formspring, incluidos nombres de usuario, direcciones de correo electrónico y contraseñas. [21]

Nikulin fue declarado culpable y condenado a 88 meses de prisión. [22]

Referencias

  1. ^ ab "Una actualización sobre el hackeo". Linkedin . Consultado el 8 de junio de 2012 .
  2. ^ "Los piratas informáticos roban 6,5 millones de contraseñas de LinkedIn". Herald Sun. Consultado el 8 de junio de 2012 .
  3. ^ "LinkedIn confirma y se disculpa por la violación de contraseña robada". Mashable.com. 6 de junio de 2012. Consultado el 8 de junio de 2012 .
  4. ^ "LinkedIn está ocupado investigando". The Economic Times . 10 de junio de 2012 . Consultado el 20 de julio de 2012 .
  5. ^ "Actualización: LinkedIn confirma que ha sido hackeado". Pc world.com. 6 de junio de 2012. Archivado desde el original el 14 de septiembre de 2012. Consultado el 8 de junio de 2012 .
  6. ^ "Protegiendo a nuestros miembros". LinkedIn . Consultado el 25 de mayo de 2016 .
  7. ^ "Los piratas informáticos filtran 700 millones de datos extraídos de LinkedIn". TheRecord.media. 22 de septiembre de 2021. Consultado el 25 de septiembre de 2021 .
  8. ^ "LinkedIn sufre una filtración de datos: expertos en seguridad". Reuters. 6 de junio de 2012. Archivado desde el original el 6 de noviembre de 2014. Consultado el 8 de junio de 2012 .
  9. ^ Kingsley-Hughes, Adrian. "La aplicación de LinkedIn para iOS recopila nombres, correos electrónicos y notas de tu calendario". Forbes.com . Consultado el 8 de junio de 2012 .
  10. ^ "Los problemas de privacidad de la aplicación iOS de LinkedIn preocupan a la gente". Mashable.com. 6 de junio de 2012. Consultado el 8 de junio de 2012 .
  11. ^ Gune, Aditya (2017). "Las implicaciones criptográficas de la filtración de datos de LinkedIn". arXiv : 1703.06586 [cs.CR].
  12. ^ "Se filtraron las contraseñas de LinkedIn... ¡El Congreso quiere inmediatamente 'hacer algo'!". Techdirt.com. 7 de junio de 2012. Consultado el 8 de junio de 2012 .
  13. ^ Sasso, Brendan (6 de junio de 2012). "Legisladores preocupados por informe de que se robaron contraseñas de LinkedIn". Hillicon Valley . Consultado el 25 de julio de 2012 .
  14. ^ "Hacker afirma haber robado millones de contraseñas". The Mercury News . Consultado el 7 de junio de 2012 .
  15. ^ "Se filtraron en Internet más de 6 millones de contraseñas cifradas de LinkedIn" (Comunicado de prensa). Margate, FL : PRWeb . Archivado desde el original el 16 de noviembre de 2015 . Consultado el 18 de abril de 2013 .
  16. ^ "LinkedIn demandado por 5 millones de dólares por contraseñas pirateadas". The News Tribe.com. 21 de junio de 2012. Consultado el 23 de junio de 2012 .
  17. ^ ab Constantin, Lucian (6 de marzo de 2013). "LinkedIn obtiene la desestimación de la demanda que buscaba daños y perjuicios por una violación masiva de contraseñas". PC World . IDG News Service . Consultado el 3 de abril de 2012 .
  18. ^ "El FBI ayudará a LinkedIn". Gadgets.NDTV.com. 8 de junio de 2012. Consultado el 8 de junio de 2012 .
  19. ^ "LinkedIn es hackeado". Fox10TV.com . Consultado el 8 de junio de 2012 .
  20. ^ Treshchanin, Dmitry; Shchetko, Nick (20 de octubre de 2016). "Exclusiva: un rastro digital delata la identidad de un 'hacker' ruso detenido en Praga". RadioFreeEurope/RadioLiberty .
  21. ^ "Estados Unidos acusa a un hacker ruso de robar datos de LinkedIn". RadioFreeEurope/RadioLiberty . 22 de octubre de 2016.
  22. ^ Stone, Jeff (29 de septiembre de 2020). «El hacker de LinkedIn Nikulin condenado a 7 años de prisión tras años de batallas legales». Archivado desde el original el 29 de septiembre de 2020. Consultado el 23 de noviembre de 2020 .