pointerPerché il leak di dati di LinkedIn riguarda tutti noi

Verso inizio giugno sono apparsi sul dark web i dati — inclusa password e email — di 117 milioni di account creati su LinkedIn, ottenuti durante l’attacco che LinkedIn subì nel 2012 (potete controllare se anche il vostro account venne compromesso su haveibeenpwned.com).

Come spiega Arstechnica, ogni volta che c’è un leak di queste dimensioni e entità (recentemente: Ashley Madison) gli hacker diventano un po’ più bravi a indovinare le nostre password su altri siti — dato che possono fare affidamento ai dati già collezionati (sia su noi stessi, preferenze e dettagli, sia sulle password), compilando così lunghissime liste di potenziali combinazioni e password:

Back in the early days of password cracking, we didn’t have much insight into the way people created passwords on a macro scale. Sure, we knew about passwords like 123456, password, secret, letmein, monkey, etc., but for the most part we were attacking password hashes with rather barbaric techniques—using literal dictionaries and stupid wordlists like klingon_words.txt. Our knowledge of the top 1,000 passwords was at least two decades old. We were damn lucky to find a password database with only a few thousand users, and when you consider the billions of accounts in existence even back then, our window into the way users created passwords was little more than a pinhole. […]

When you take both RockYou and LinkedIn and combine them with eHarmony, Stratfor, Gawker, Gamigo, Ashley Madison, and dozens of other smaller public password breaches, hackers will simply be more prepared than ever for the next big breach.