La inutilidad de LinkedIn para cuidar tu seguridad

linkedin hack 2016

Si hay una red social que debería mostrar que se preocupa por tu seguridad es la red social profesional pero el hack a LinkedIn de 2012 que tardaron en reconocer está resurgiendo porque recién ahora se empezaron a vender las bases de datos y resulta que Linkedin no pudo haber hecho peor las cosas para cuidar tu seguridad.

  • El Hack fue mucho más profundo, de reconocer 300.000 claves robadas, pasaron a admitir 6.4 millones y ahora se sabe que fueron unas 116 millones.
  • La falta de velocidad al reconocer el error y pedir que se cambien las claves permitió que durante este tiempo la gente siga usando claves inseguras… aún en otros servicios.
  • No usaron un salt para hashear asegurar las claves (algo que se sabe desde siempre) y ganar tiempo

¿Que no te hackearon la cuenta? En realidad no lo sabés porque esto está ahora reapareciendo pero desde 2012 que está en la dark web con lo que no sabés si usaron tu clave para adivinar otras (hey, hasta Zuckerberg usó esos datos en su cuenta de Twitter y fue hackeada :P) y si no sos de prestarle atención a la seguridad podrían haber entrado y leido sus cuentas o DMs sin problema.

¿Que una cuenta de Twitter no es grave? Claro que no, pero conozco MUCHA gente aún en el mercado de inversiones y de startups que usa la misma clave para varios servicios o la lógica que usan para una clave para crear otras y hoy en día si usás algo de estadística o de lógica para determinar claves tenés mucho más éxito que con ataques de fuerza bruta.

En definitiva… si tenías una cuenta de Linkedin en 2012 cambiá tus claves :)

Y si tenés tiempo, reemplazá claves en tus otros servicios… en tus cuentas claves utilizá un sistema de verificación de dos pasos o un “password manager” como OnePassword. Esto no asegura que no te vayan a hackear pero al menos no vas a tener que insultar cuando alguien entre en un proveedor, como LinkedIn, que sea descuidado e inútil protegiendo tu seguridad :)

Y si querés leer una buena nota sobre el tema lee esto: How LinkedIn’s password sloppiness hurts us all

Un comentario en “La inutilidad de LinkedIn para cuidar tu seguridad”

  1. Hoy en día y con las alternativas que hay, si usas la misma clave en más de un sitio, te mereces que te pasen estas cosas. Aunque requiere algo de esfuerzo, yo tengo lastpass en el web y KeePass en iPad y Android y todas, TODAS, todas las contraseñas son distintas y a menos que el lugar tenga alguna limitación, de treinta caracteres de todo tipo. Una vez creado el sistema, el mantenimiento no me ocupa más de 1 o 2 minutos por semana, asumiendo que cree una cuenta en algún lugar nuevo.

    Tampoco está de más el mencionar que linkedin solo sirve para acumular trofeos (o conexiones) y que a la hora de hacer entrevistas te analicen hasta el tuétano. Creo que tengo como 100 conexiones y solo he intentado conectar con 3 personas. El resto, los de mi trabajo y por culpa de ellos y de sus cientos de amigos, cada vez que entro allí (3 o 4 veces al año), rechazo entre 25 y 50 invitaciones de gente que no conozco ni quiero conocer. En mi oficina, los que superan las 500 conexiones más o menos nos confirman algo que todos sabíamos, que quizás también deberían trabajar …

Comentarios cerrados.