45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

2 x LinkedIn; wachtwoorden & agenda's op straat bij iOS-app gebruikers

Op een Russische website zijn 6,5 miljoen wachtwoord-hashes verschenen, die aan gebruikers zouden toebehoren.

Volgens het Noorse DagensIT gaat het om 6,5 miljoen wachtwoorden die zijn geüpload, in een formaat dat het redelijk eenvoudig maakt om ze te kraken. Het lijkt te gaan om een verouderde database met wachtwoorden. Een blik op de upload wijst uit dat het gaat om circa 6,5 miljoen sha1-wachtwoord-hashes, zonder bijbehorende accountinformatie. Het is echter waarschijnlijk dat ze die wel bemachtigd hebben. 

Op Twitter melden verschillende LinkedIn-gebruikers, waaronder de directeur van beveiligingsbedrijf Fox-IT Ronald Prins, dat ze hun wachtwoord-hash kunnen terugvinden in de lijst met wachtwoorden. Dat betekent dat er geen salt is gebruikt: een waarde die aan een wachtwoord wordt toegevoegd om het minder gevoelig voor rainbow tables te maken.

Alles bij de bron; tweakers 

Twee beveiligingsspecialisten ontdekten dat de iOS-app van de zakelijke netwerksite LinkedIn de agenda van gebruikers naar de bedrijfsservers doorsluist.

De iPhone- en iPad-apps van LinkedIn bevatten een functie waarmee gebruikers hun iOS-agenda(‘s) binnen de app kunnen bekijken en beheren. Om die functie te gebruiken moet de gebruiker zijn toestemming geven door in de app een knopje om te zetten.

De specialisten van Skycure Security ontdekten dat de LinkedIn-app - eens de agendafunctie geactiveerd is – bij het opstarten automatisch agendapunten, compleet met namen van deelnemers, wachtwoorden voor conference calls en notities naar de servers van LinkedIn uploadt. LinkedIn rept in zijn gebruikersvoorwaarden voor de app met geen woord over deze praktijk. De beveiligingsonderzoekers menen dan ook dat ze in strijd is met de privacyrichtlijnen die Apple hanteert. 

Alles bij de bron; zdnet