LinkedIn account gehacked, maar hoe?

Gisteren kreeg ik meerdere mailtjes over inlogpogingen vanuit Kenia / Nairobi. Ik dacht eerst dat het ging om een spam mail, maar alle links klopte en de unieke pin/2fa code ook. Ik heb buiten de email om ingelogd op LinkedIn en mijn wachtwoord aangepast.

Nu ben ik aan het onderzoeken hoe het account gehacked is. Het wachtwoord was in januari aangepast. Het was een uniek wachtwoord, automatisch gegenereerd met Google Chrome wachtwoord voorstel. Dit wachtwoord is niet hergebruikt op andere websites. Daarnaast is het mail adres (login naam) een oud mail adres wat ik als alias heb op mijn nieuwe mailbox bij o365 met 2fa geactiveerd.

Het wachtwoord is niet bekend op haveibeenpwned en is niet te onthouden, waardoor ik er ook niet op onbekende computers mee ben ingelogd.

Alle standaard scenario's zijn dus wel uitgesloten, zoals een slecht wachtwoord, hergebruik van wachtwoord, gebruik op een openbare/gedeelde computer, oude onveilige mailbox of brute force.

LinkedIn is het nog aan het uitzoeken. In eerste instantie kreeg ik een standaard mailtje en was direct "case closed". Die heb ik heropend en nu gaan ze verder zoeken.

Zijn er meer mensen met soortgelijke inlogpogingen? Als het bij LinkedIn fout is gegaan dan maak ik mij verder geen zorgen. Als het bij mij mis is gegaan moet ik even goed onderzoeken hoe dat dan kan. Ik heb al lange tijd geen wachtwoord in hoeven voeren en klik ook nooit op mailtjes van LinkedIn. Ik zit eigenlijk alleen maar via mijn mobiele app op linkedin waarbij er geen wachtwoord gevraagd wordt.

Nee het lukte om in te loggen, alleen 2fa wist een echte inlog te voorkomen.

Het wachtwoord was BKVY9Psa#&UE*Xe en komt vanuit Google Chrome. Ik gebruik altijd de wachtwoorden die Google genereerd en per website uniek, ze worden toch opgeslagen. Dat is dus ook mijn wachtwoord manager in dit geval. Daar zit ook 2FA op. Overigens was dit wachtwoord van januari dit jaar, toen heb ik voor het laatst mijn wachtwoord gewijzigd. Het is dus best recent gebeurd. Nu is LinkedIn dit jaar wel gehacked, maar ze beweren dat daar geen wachtwoorden zijn uitgelekt.

De vraag is vooral, hoe komen ze aan een uniek (niet meer gebruikt) e-mail adres EN een uniek wachtwoord. LinkedIn stuurt alleen maar standaard mailtjes over best practices, dus daar kom ik helaas nog niet verder.

Klopt ik twijfelde ook aan de mail, maar na het bekijken van de headers en links leek hij echt. Ik heb verder niet op de mail geklikt, ik ga dan direct naar de website en verander het wachtwoord.

Headers:
Received: from VI1PR04MB3278.eurprd04.prod.outlook.com (2603:10a6:802:4::16)
by AM9PR04MB8340.eurprd04.prod.outlook.com with HTTPS; Tue, 26 Oct 2021
08:33:28 +0000
Received: from AS9PR04CA0066.eurprd04.prod.outlook.com (2603:10a6:20b:48b::19)
by VI1PR04MB3278.eurprd04.prod.outlook.com (2603:10a6:802:4::16) with
Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.4628.20; Tue, 26 Oct
2021 08:33:25 +0000
Received: from VI1EUR04FT013.eop-eur04.prod.protection.outlook.com
(2603:10a6:20b:48b:cafe::18) by AS9PR04CA0066.outlook.office365.com
(2603:10a6:20b:48b::19) with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.4649.13 via Frontend
Transport; Tue, 26 Oct 2021 08:33:25 +0000
Authentication-Results: spf=pass (sender IP is 108.174.0.141)
smtp.mailfrom=bounce.linkedin.com; dkim=pass (signature was verified)
header.d=linkedin.com;dmarc=pass action=none
header.from=linkedin.com;compauth=pass reason=100
Received-SPF: Pass (protection.outlook.com: domain of bounce.linkedin.com
designates 108.174.0.141 as permitted sender)
receiver=protection.outlook.com; client-ip=108.174.0.141;
helo=maila-he.linkedin.com;
Received: from maila-he.linkedin.com (108.174.0.141) by
VI1EUR04FT013.mail.protection.outlook.com (10.152.28.175) with Microsoft SMTP
Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
15.20.4628.16 via Frontend Transport; Tue, 26 Oct 2021 08:33:24 +0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=linkedin.com;
s=d2048-201806-01; t=1635237191;
bh=PnDpmw2ZIT8CcfDi9AL0ZCRod3j3BU8nXGP10WhKNak=;
h=From:Subject:MIME-Version:Content-Type:To:Date:X-LinkedIn-Class:
X-LinkedIn-Template:X-LinkedIn-fbl;
b=ZjWH+ZNr2HxHQ3cCuai7km5rF6HRBVqWbLWdcML3VuY+8JoXHHbrd6L1+OZuVDzz1
TxwEyM8phUpdsuckgXnoPvTddF27rC/Or/WgGgqgkoV6ZZOkxWCTaCDA9MXNDeH/is
8h6Xn6fO4T6mJOge7/vMAKKLvV6Gv+EQ3gavWaIu73C8GaERYfmtTzuSdIx3nb9H0F
N/pubMlu3aJ7fIuOaGehRAjQx53GoisLupziAV9eZJLB6kK7e38yb90/Zvshjjm489
3VdLKYFHj4Qx/wYvTCqew+F6ki7liy/F2FuZ8dCW7cYIYz5v18lHig+nCKIsQvw7nT
fx592PGrCOgIg==
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=maila.linkedin.com;
s=proddkim1024; t=1635237191;
bh=PnDpmw2ZIT8CcfDi9AL0ZCRod3j3BU8nXGP10WhKNak=;
h=From:Subject:MIME-Version:Content-Type:To:Date:X-LinkedIn-Class:
X-LinkedIn-Template:X-LinkedIn-fbl;
b=CXERHduzB5Zjx5hkCLUMoPS7qbEopXVn+lsvziINUq1CxbdDbcgcqo5UYA5rynY3G
c5xJPBYr+hN9SF5FWLj8DPZgjXKtWzz5Bg7aw9gEYGGpANOxvtvq5GY8HNpWL93QEI
F2yH64YQFriOYO53GRv8DUXjsY1KJC2ddpXDjVVY=
From: LinkedIn <security-noreply@linkedin.com>
Message-ID: <202572429.2585785.1635237191262@ltx1-app56746.prod.linkedin.com>
Subject: Nomad, hier is uw PIN
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_Part_2585783_1307414743.1635237191259"
To: Nomad de Leeuw <nomad@xxxxxxxxxxxxxxx.nl>
Date: Tue, 26 Oct 2021 08:33:11 +0000 (UTC)
X-LinkedIn-Class: ACCT-ADMIN
X-LinkedIn-Template: security_ato_challenge_send_pin
X-LinkedIn-fbl: m2-aszsqq0ql3fj8t5qxyen5ja7plj3hbxhziwhfv7ioq9dxdcj1qu8elo69xlenjr8ous03u10n6tr8y7iuk4gqb3fb3lqwsp6hdos3r
X-LinkedIn-Id: 8apq45-kv7u03xq-jg
Return-Path:
m-12mauorwb8dz32pnnhb6zvnxqeudjxh9027ssg3xdlsq5x3cze0uuquuzr@bounce.linkedin.com
X-MS-Exchange-Organization-ExpirationStartTime: 26 Oct 2021 08:33:25.0200
(UTC)
X-MS-Exchange-Organization-ExpirationStartTimeReason: OriginalSubmit
X-MS-Exchange-Organization-ExpirationInterval: 1:00:00:00.0000000
X-MS-Exchange-Organization-ExpirationIntervalReason: OriginalSubmit
X-MS-Exchange-Organization-Network-Message-Id:
ca854797-5681-4acb-08cc-08d9985b46ff
X-EOPAttributedMessage: 0
X-EOPTenantAttributedMessage: 25bef7a9-e84b-40cf-bad3-aac7af0ba4a3:0
X-MS-Exchange-Organization-MessageDirectionality: Incoming
X-MS-PublicTrafficType: Email
X-MS-Exchange-Organization-AuthSource:
VI1EUR04FT013.eop-eur04.prod.protection.outlook.com
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Office365-Filtering-Correlation-Id: ca854797-5681-4acb-08cc-08d9985b46ff
X-MS-TrafficTypeDiagnostic: VI1PR04MB3278:
X-MS-Oob-TLC-OOBClassifiers: OLM:55;
X-MS-Exchange-Organization-SCL: 1
X-Microsoft-Antispam: BCL:1;
X-Forefront-Antispam-Report:
CIP:108.174.0.141;CTRY:US;LANG:nl;SCL:1;SRV:;IPV:NLI;SFV:NSPM;H:maila-he.linkedin.com;PTR:maila-he.linkedin.com;CAT:NONE;SFS:(4636009)(47570400003)(286005)(66574015)(6666004)(6486002)(8676002)(83380400001)(36736006)(83170400001)(1096003)(7596003)(356005)(166002)(336012)(118246002)(6862004)(26005)(956004)(6512007)(966005)(7636003)(35970500005)(42226003);DIR:INB;
X-MS-Exchange-CrossTenant-OriginalArrivalTime: 26 Oct 2021 08:33:24.2954
(UTC)
X-MS-Exchange-CrossTenant-Network-Message-Id: ca854797-5681-4acb-08cc-08d9985b46ff
X-MS-Exchange-CrossTenant-Id: 25bef7a9-e84b-40cf-bad3-aac7af0ba4a3
X-MS-Exchange-CrossTenant-AuthSource:
VI1EUR04FT013.eop-eur04.prod.protection.outlook.com
X-MS-Exchange-CrossTenant-AuthAs: Anonymous
X-MS-Exchange-CrossTenant-FromEntityHeader: Internet
X-MS-Exchange-Transport-CrossTenantHeadersStamped: VI1PR04MB3278
X-MS-Exchange-Transport-EndToEndLatency: 00:00:04.1375035
X-MS-Exchange-Processed-By-BccFoldering: 15.20.4608.018
X-Microsoft-Antispam-Mailbox-Delivery:
ucf:0;jmr:0;auth:0;dest:I;ENG:(910001)(944506458)(944626604)(750132)(520011016);
X-Microsoft-Antispam-Message-Info:
=?us-ascii?Q?q1HtNWDqcYaurbTvpfMQAuIEIx+tGLp6H2metgmylIdLTQRo6SIOAHXKaZy+?=
=?us-ascii?Q?K8u1Pd0BQCGefEmKY/WeycW8N3uFwVIsrc79kpdIcdYyu6t887XDS/f3z6PW?=
=?us-ascii?Q?p+aIgi6sTxEghEQMIlW+LVHcflGYCH68GJT8QqwOyFLKbIko6zQVKQdARtn4?=
=?us-ascii?Q?sYA4cX4t4mrgc46nhtp7C3KU2bmQbbF2mxcc3LcCRAWCMkt/veReX1ahPae0?=
=?us-ascii?Q?lgi6qc4KzVr97L+0bbUpZ5lOUVct9b6fkEpKfU3k6l0pQVNtCFw3hUeUCxFX?=
=?us-ascii?Q?Pc1AB588s9Uow+B60R+kP/kDGOaghbBhtNEZJfUKFzqkHE88JQrDjQcfmPEr?=
=?us-ascii?Q?RJ6sr5dOHT2BUDwlO//FhCQE83f+pCipF0FpTwIzcYynM5n0nR4gIqoUxf4i?=
=?us-ascii?Q?uEcRJo0TqaoiT8Tj9kkHDIk9E6s9GgYqzm82uY0pTKb9F14XKOBBpUh9QiVC?=
=?us-ascii?Q?OdM6l4Y4OMCgmkeav00X6phQAZ7dlNx+jUsoiB/fEruRXijYmMrT/+doDN8K?=
=?us-ascii?Q?wj1pDMHpeqS7MiWQavvevqmBgKR7vKvOvtK0uOqZ/Ai4MBrFcq7GP61bSypl?=
=?us-ascii?Q?LEdo9ac6Y3k1ZRKzw5LvjQrq1FfFTA0Pjn+JV3SOdnstG2zW39IG8GNyPmk/?=
=?us-ascii?Q?w9o7k2ZnrPCmj/A3j7UvyK0c4vCw7siGSm7bCSksCzTO8UzN5G8fSqViivG8?=
=?us-ascii?Q?bY/DGFbINQXwBrkbz3Ofm3XyTTi9X1OZ+lsMc0sNkhf+aZiPtoHXPBQ+K5Fb?=
=?us-ascii?Q?i9PR24ckdpMFeNmzIbLZ2dabG7yRyxPzxF2VMNWLOJSULQGn88GfuCbC+Plw?=
=?us-ascii?Q?TaqkZcRAwr21CPLqYPiE0nHUX8VinWIKSpJx/21/XUFrp63FE3Qv7Ihl2em7?=
=?us-ascii?Q?sj7+Gq42t5Z+VCTIeiUY8FmpEYvMPW1DfmGcncvSwCBoaAc/bQuX7jUHG5h5?=
=?us-ascii?Q?iA+iVeB8DvdSU2sORmbS9dhHA0JKX8vwRIZaMqdEw1FePbGSbJVhj2S+fY7Z?=
=?us-ascii?Q?DGUxp5TfI3MC054A/KiVsc0kkzPzFgY9NRK7qhWzpiARIt3f111ik2frCnl/?=
=?us-ascii?Q?IfnEtdyAMUM69WUyff7dv5XOF8/vdaUw39FVvpD7PuTc7eWIITtmwY70gEX7?=
=?us-ascii?Q?H4iphlifjxEV9reCnRBNxZocysy/DZLvy3aTS2H00xdlPi+UXX8AvueN1cW3?=
=?us-ascii?Q?UfgRHstopJAFFpr5dABdeW4XvFfSWphmuiFjSn5UihEOyKL9Nd4NLpni2OcA?=
=?us-ascii?Q?7EdXHQE6ivSLzcOXXutCBisdypHiyptkogO1TudB53Nn3ZdiY8cQuYVIshtz?=
=?us-ascii?Q?6/Ni0Y9eBkQr8ZEZ/i22Vee7J9eoepfF2R8WtF7QxLS9vEHmkcvfU5VxzM06?=
=?us-ascii?Q?GEdK2PXyUB/sKarmJDoZFY+IXDFGd7A+5H6xbg2EW1ckVEbX/l+bFEHIC9SI?=
=?us-ascii?Q?W8nlsNXQJhvT9xZ/1x1T1yRDog70BUkZ8vTiGucyA/7piissRN+77WbGdaOv?=
=?us-ascii?Q?Vg68j+5TeRMqp5XTlJIx//4SNqI5G3wBjDtuEnwDvhSpUslC6eRb+YTJ3d8e?=
=?us-ascii?Q?A5fcQW4PAoGCeDfLBbmdBF3THV2+CmNbWkl6GegLLAo9rttw1ePqvmW7LCTU?=
=?us-ascii?Q?kkG/s46BMAs0DSpgd8SGcqyx68jyR69wdWDyJLS3LqmE75neoZlQJTsOutM9?=
=?us-ascii?Q?XNjifGHcjPZ6cie08vbSutCfVXcjhoBpv4XpEkd+EKdJsyWjKq3QXr7QbRqR?=
=?us-ascii?Q?DklJAltSkxIRA60i4c015+qhuLNX78TWvQnzWux239nuMI6+9uNK26Yccr1E?=
=?us-ascii?Q?GPCviRG0pVyHGx43c4QCxaOptAuhkomX462aLrt1HP7Hkm7DNCjCbzdhiGYI?=
=?us-ascii?Q?QaX8gTfyTJK3Dex5WX938ApX0aAJGxUTDwjJsYq/P2LbC7GxGRQm6d30YAIu?=
=?us-ascii?Q?HD1G9oZlwKzHpgSiLuEHzCleJ5QjfwNCG0Wp0JNRSPDdyEuIyvK2D2fZ3Io8?=
=?us-ascii?Q?4h05e7e3ysODp1M0qqs+dcqS87h5WFphKUpsvr7qVxb3BHZeQ2m4TqawJh8K?=
=?us-ascii?Q?oYp3fRU0?=

En de mail zelf:

Beste Nomad,
We hebben gemerkt dat iemand zich zojuist heeft geprobeerd aan te melden bij uw LinkedIn-account vanaf een locatie die nog niet eerder werd gebruikt, dus we willen controleren of u het echt zelf bent.
Als u zich inderdaad probeerde aan te melden:
Gebruik deze verificatiecode om uw aanmelding te voltooien:xxxxxx
Als u niet hebt geprobeerd om u aan te melden, wijzig dan uw wachtwoord door op de onderstaande link te klikken.
Bedankt voor uw hulp bij het beveiligen van uw account.
Het team van LinkedIn

Waar en wanneer dit gebeurde
Datum:
26 oktober 2021 08:33 (GMT)
Besturingssysteem:
Windows
Browser:
Chrome
Geschatte locatie:
Nairobi, Nairobi City, Kenya
Hebt u dit niet gedaan? Zorg dan dat u onmiddellijk uw wachtwoord wijzigt.

Het is denk ik hoe je inloggen bekijkt. Ik zie het als een inlog met gebruikersnaam+ww omdat hij deze combinatie had en dus kon inloggen. Het is hem alleen niet gelukt om door het hele proces heen te komen (gelukkig) vanwege die unieke code die nodig is.

Inlogpogingen zie ik meer als brute force met onjuist wachtwoord.

Nee als je gewoon iets in typt op het juiste e-mail adres krijg je verder niets. Dat zou ook een hoop spam geven denk ik.

Ja het email adres komt wel voor, de volgende komen dan naar voren:
Dropbox: In mid-2012
MyFitnessPal: In February 2018

Geen LinkedIn. Ik heb mijn systemen al gescand maar daar kwam ook niets uit. Het is ook alleen LinkedIn, anders had ik wel een grotere uitdaging :-).

Ik ben nog even verder aan het puzzelen. Momenteel onderzoek ik een externe marketing automation tooltje waarmee je op LinkedIn allemaal dingen kan doen. Dat heb ik wel een keertje gebruikt, dus wellicht zit het daar in en niet bij LinkedIn direct (maar indirect/partner).

Het was inderdaad de externe tool voor automation. De persoon die deze ingesteld heeft geeft aan dat het daar fout gegaan is. Details ontbreken, maar gelukkig is het nu duidelijk :-).