LinkedIn の開発者たちは、自身の履歴書に「暗号化トレーニング」を受けたことを記載していなかったようです。
火曜日の夜遅くから水曜日の早朝にかけて、このネットワーク企業におけるユーザーデータ漏洩の可能性に関する2つの報道が流れた。1つは、LinkedInのiOSアプリがユーザーのカレンダーからLinkedInのウェブサイトに個人データを漏洩する可能性があるというものだ。もう1つは、ロシアのハッカーが650万件のLinkedInのパスワードをウェブ上に投稿した可能性があるというものだ。
まず、iOSアプリの問題です。The Next Webが最初に報じたように、Skycure Securityによると、LinkedInアプリのカレンダー機能を使用すると、会議の相手となる人々のLinkedInプロフィールを見つけるために、iOSカレンダーの詳細にオプションでアクセスすることがあります。Skycureによると、アプリはカレンダーの参加者情報だけでなく、会議のタイトル、主催者、場所、時間、追加したメモなど、カレンダーエントリの詳細情報をすべて渡します。
LinkedInは自社ブログでの回答で、カレンダーからサーバーに送信するデータはSSL経由で送信されることを明確にしています。つまり、データがユーザーのスマートフォンとLinkedInのサーバー間で転送されている間、第三者が覗き見ることができない安全な接続を使用しているということです。また、同社はユーザーのカレンダー情報を保存したり、他者と共有したりすることはなく、ユーザーが明示的に要求した場合にのみカレンダーデータにアクセスすると強調しています。
LinkedIn は、iOS アプリの次のバージョンでは「カレンダー イベントの会議メモ セクションからデータを送信しなくなります」と付け加え、カレンダー データの使用方法に関する詳細情報を提供するリンクを追加します。これは、LinkedIn にプロフィールを持つ名前または電子メール アドレスで連絡先を検索するためだけのものであると述べています。
しかし、流出したパスワード問題は、おそらくさらに懸念される。Mashableの報道によると、ロシアのハッカーがLinkedInからデータを盗み出し、その証拠として同サイトから650万件のパスワードをアップロードしたと主張している。パスワードはユーザー名と紐付けられていないが、フィンランドのセキュリティ企業Cert-Fiは、ハッカーがユーザー名にもアクセスできる可能性が高いと述べている。
Mashableによると、パスワードはSHA-1ハッシュ関数で暗号化されているものの、ソルトは使用されていないとのことです。簡単に言えば、これは、意欲的なハッカーが試行錯誤を繰り返しながら、暗号化されたハッシュが表すパスワードを推測しやすくなることを意味します。ソルトは暗号化の複雑さを大幅に高めますが、LinkedInではソルトは使用されていないようです。
LinkedInはTwitterで、パスワードハッキングの可能性について調査中であると述べました。その間、各Webサービスごとに異なるパスワードを使用するよう改めて注意喚起しました。LinkedInアカウントをお持ちで、他のサービスでも同じパスワードを使用している場合は、今すぐパスワードの変更を開始することをお勧めします。
