LinkedIn-blokkade laat oude log-in nog binnen

LinkedIns accountblokkade vanwege uitgelekte inlog-hashes blijkt onvolledig. Inloggen is soms mogelijk met het oude wachtwoord. Daarnaast wachten sommige getroffen gebruikers nog op actie.

Niet alle LinkedIn-gebruikers wiens inlog op straat ligt, hebben al bericht gekregen van het zakelijke sociale netwerk. LinkedIn heeft vorige week aangekondigd dat het getroffen accounts op slot zet en de gebruikers daarna per mail informeert. Sommige gebruikers, ook in Nederland, hebben in de dagen daarna inderdaad een blokkademail gekregen van LinkedIn. Vele andere gebruikers kregen phishing mails.

Wachtwoord wél gelekt
Maar niet alle getroffen LinkedIn-leden zijn direct afgeschermd door de blokkade en gemaild door het sociale netwerk. Een aantal LinkedIn-leden dat hun eigen wachtwoorden heeft ontdekt in de uitgelekte gegevens meldt dat ze niet níet zijn gemaild en dat hun accounts ook niet zijn geblokkeerd. Hetzelfde geldt voor sommige gebruikers die hun wachtwoord zelf via SHA1-hashing hebben omgezet in de correspenderende hash. Die bleek aanwezig in de uitgelekte lijst van 6,5 miljoen inlog-hashes.

De hashes zijn de in één richting versleutelde wachtwoorden van LinkedIn-gebruikers, die het zakelijke sociale netwerk heeft opgeslagen zónder de extra versleuteling van salting (het toevoegen van willekeurige tekens aan het eigenlijke wachtwoord). Andere gebruikers hebben simpelweg hun wachtwoorden aangetroffen in gedecodeerde en online gepubliceerde delen van de volledige lijst.

Tegenspreken
LinkedIn weigert aanvankelijk in te gaan op deze discrepantie. Het Nederlandse pr-bureau verwijst naar het officiële blog van het Amerikaanse bedrijf, waar vooralsnog geen details worden gegeven. De Amerikaanse hoofdwoordvoerster komt na herhaalde vragen van Webwereld met een reactie. Zij spreekt tegen dat er risicolopende accounts nog ongeblokkeerd zijn.

"Op basis van ons onderzoek geloven we niet dat een account risico loopt als het wachtwoord van een lid niet is uitgeschakeld. Voor die leden waarvan wij menen dat die risico lopen, en wiens gedecodeerde wachtwoorden al zijn gepubliceerd, zijn de wachtwoorden snel uitgeschakeld", mailt senior communicatiemanager Julie Inouye van LinkedIn.

"Donderdag tegen het eind van de dag zijn alle wachtwoorden op de gepubliceerde lijst waarvan wij menen dat die een risico vormen voor onze leden uitgeschakeld." Dit geldt volgens de woordvoerster ongeacht of de wachtwoorden zijn ontcijferd of niet. Gebruikers van geblokkeerde accounts zijn vervolgens per mail ingelicht door de klantenservice van LinkedIn.

Gat in blokkade
Het blokkeren van de accounts blijkt echter niet sluitend te zijn. Webwereld heeft zelf ontdekt dat een volgens LinkedIn geblokkeerd account nog gewoon toegankelijk is, zónder dat het wachtwoord door de gebruiker is gereset. Een webbrowser die is ingesteld om de inlog te onthouden, blijkt nog gewoon toegang te hebben tot het officieel geblokkeerde account.

Hetzelfde geldt voor de mobiele app van LinkedIn zelf. Zowel op iOS als op Android logt de app automatisch in op het 'uitgeschakelde' account. Bezoek vanaf een 'verse' browser (die niet eerder op het sociale netwerk is ingelogd) of nieuw geïnstalleerde - dan wel geüpdatete - app levert wel de melding op het account is geblokkeerd en dat de gebruiker zijn of haar wachtwoord eerst moet resetten.

Uitnodigingen versturen
Ondertussen is het vanuit een eerder voor LinkedIn gebruikte browser én voor de mobiele app nog gewoon mogelijk om linkverzoeken en berichten te versturen, maar ook om status-updates te plaatsen. Webwereld heeft langs deze weg pr-mensen en woordvoerders van LinkedIn zelf uitnodigingen gestuurd als test, die is geslaagd. Ook werd de mobiele app echt uitgezet en geheel opnieuw gestart. Dit om het eventuele 'na-ijlen' van een reeds ingelogde sessie af te strepen als mogelijke oorzaak.

Na verloop van enkele dagen is de blokkade alsnog echt actief geworden. Niet door maatregelen van het door Webwereld ingelichte LinkedIn, maar simpelweg door het verlopen van de sessie. De browser én de app geven na een onbekende periode ineens aan dat het wachtwoord niet correct is. Invoeren van het nieuwe wachtwoord geeft weer toegang.