Vai al contenuto
“Hackeratemi” l’account Instagram. Questa è la mia password

“Hackeratemi” l’account Instagram. Questa è la mia password

Ultimo aggiornamento: 2019/02/17 21:00. 

Attivare l’autenticazione a due fattori in Instagram è piuttosto semplice: il problema è convincere gli utenti a usarla per proteggere il proprio account in caso di furto di password.

Così vi propongo un esperimento: ho creato un account Instagram di prova che si chiama 123disinformatico. La sua password è instagramtest.

È protetto dall’autenticazione a due fattori. Provate a prenderne il controllo: avete il mio permesso esplicito.

Con questo piccolo esperimento simulo le condizioni in cui si trova l’utente quando avviene un furto in massa di credenziali, per cui la sua password e il suo nome utente circolano liberamente su Internet insieme a milioni di altri dati analoghi, come avvenuto di recente. In queste condizioni, chiunque metta le mani sugli elenchi di password può tentare di rubare un account e quindi un utente può essere attaccato da numerosissimi aggressori.

Per attivare questo antifurto si va nelle Impostazioni (dalla Home, icona in basso a destra, poi icona con tre trattini in alto a destra), si sceglie Privacy e Sicurezza e poi Autenticazione a due fattori. Qui si sceglie Messaggio di testo oppure (consigliabile) App di autenticazione. Infine si immette il codice ricevuto. Tutto qui.

Per maggiore sicurezza, annotate da qualche parte i codici di recupero che vi vengono proposti: sono la soluzione di estrema emergenza in caso di problemi.

2019/02/17 21:00

Avendo annunciato questo esperimento sia via Twitter sia durante la diretta del Disinformatico alla Radiotelevisione svizzera, ho ricevuto circa 200 mail di notifica di nuovi accessi di questo genere:

È interessante notare che Instagram avvisa del tentativo di accesso e fornisce parecchie informazioni sul possibile intruso: l’orario, il tipo di dispositivo o browser, la geolocalizzazione e (in alcuni casi) l’app utilizzata.

Dopo sette tentativi mi è arrivata una mail di avviso differente:

Ciao 123disinformatico,
qualcuno ha provato ad accedere al tuo account Instagram.
Se eri tu, usa il codice seguente per confermare la tua identità:
[omissis]
Se non eri tu, reimposta la tua password per proteggere il tuo account.

Qualcuno ha anche tentato di resettare la password, ma senza successo:

Hi 123disinformatico,
We got a request to reset your Instagram password.



Reset Password

If you ignore this message, your password will not be changed. If you didn’t request a password reset, let us know.

Nonostante il numero elevato di tentativi d’intrusione provenienti da vari luoghi e vari dispositivi, Instagram non mi ha buttato fuori dall’app, ma mi ha obbligato a reimpostare la password con questa schermata, dalla quale non potevo uscire senza cambiare password:

È interessante la segnalazione della disconnessione delle sessioni, che però non vale per il mio dispositivo principale (l’app è rimasta nell’account).

Oggi (dopo due giorni di “attacco”) ho cambiato la password come richiesto. Tutto è tornato a posto. Direi che la dimostrazione ha funzionato.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Se in casa ti suona l’allarme nucleare, controlla le password delle tue telecamere

Se in casa ti suona l’allarme nucleare, controlla le password delle tue telecamere

Continua la carrellata di disavventure degli utenti incauti che installano telecamere di sorveglianza o campanelli Nest e le configurano maldestramente.

Dopo l’hacker cortese che entra nella telecamera Nest e parla al proprietario per spiegargli come configurarla correttamente, Wired.com segnala che nei giorni scorsi decine di proprietari di queste telecamere hanno sentito “una voce incorporea che insisteva affinché si iscrivessero al canale Youtube di PewDiePie”.

Motherboard ha pubblicato un video con la dimostrazione di un attacco di questo tipo da parte di un intruso che ha trovato circa 300 telecamere vulnerabili nel giro di pochi minuti ed è riuscito a trovare le password di circa 4000 account Nest.

Domenica scorsa una famiglia californiana ha sentito in casa l’allarme nucleare che avvisava, in tutta serietà, che tre missili nordcoreani stavano per cadere su tre città americane ed è stata presa dal panico finché si è resa conto che l’allarme proveniva non dal televisore ma dalle telecamerine di casa.

A dicembre scorso una coppia è saltata giù dal letto quando ha sentito una voce sconosciuta dire parolacce nella cameretta del figlio e poi minacciare di rapirlo.

A ottobre 2018 qualcuno ha iniziato a parlare tramite una telecamera Nest con un bambino di cinque anni, chiedendogli se avesse preso lo scuolabus per tornare a casa e con quali giocattoli stesse giocando e intimandogli di stare zitto quando il bambino, saggiamente, ha chiamato la madre.

Non c’è niente di particolarmente vulnerabile nelle telecamere Nest: semplicemente sono fra le più vendute e quindi è inevitabile che siano coinvolte spesso in violazioni di sicurezza e privacy come queste. Il problema, come capita sovente in informatica, è l’utente.

L’utente che pensa “tanto non ho niente da nascondere” oppure “ma chi vuoi che prenda di mira proprio me, e anche se lo facessero cosa potrebbero fare?” e quindi usa per le proprie telecamere domestiche la stessa password che usa altrove e non attiva l’autenticazione a due fattori. Beh, questi sono solo alcuni esempi di quello che si può fare. Oltre, naturalmente, ad avere sconosciuti che vi guardano e ascoltano in casa.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Twitter: scusate, abbiamo visto le vostre password, cambiatele

Twitter: scusate, abbiamo visto le vostre password, cambiatele

Twitter sta avvisando i suoi utenti (circa 330 milioni nel mondo) che le loro password non sono state protette adeguatamente e sta invitando a cambiarle appena possibile per sicurezza.

Normalmente le password vengono custodite dai fornitori di servizi come Twitter usando sistemi di protezione (hashing) grazie ai quali neanche il fornitore sa o può vedere le password degli utenti ma può soltanto verificare se viene immessa la password corretta.

Ma Twitter si è accorta che c’era un difetto nei suoi sistemi, per cui le password di molti utenti venivano custodite anche in un file di log interno all’azienda, che le conteneva in formato non protetto.

Il difetto è stato corretto, secondo quanto annunciato dall’azienda, e non risulta che ci siano stati accessi indebiti a questo archivio di password. Twitter si limita a consigliare il cambio di password ma non lo obbliga.

Sottoscrivo il consiglio: andate a mobile.twitter.com/settings/password/ e cambiate la vostra password. Usatene una lunga e complessa, e soprattutto differente da quelle che usate altrove. Già che ci siete, cogliete l’occasione per attivare l’autenticazione a due fattori o verifica dell’accesso, come la chiama Twitter: le istruzioni ufficiali sono qui.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Meno del 10% degli utenti Gmail usa l’“antifurto” gratuito offerto da Google

Meno del 10% degli utenti Gmail usa l’“antifurto” gratuito offerto da Google

Gmail è usato da un miliardo di utenti, ma meno del 10% di questi usa la verifica in due passaggi per proteggersi contro i furti di password, secondo i dati resi pubblici recentemente da Google, nonostante siano ormai sette anni che questa funzione è disponibile su base volontaria.

Come mai sono così pochi, e perché Google non la rende obbligatoria? La spiegazione, a quanto pare, è che per molti utenti le varie opzioni di verifica in due passaggi sono troppo numerose e complicate: se gli utenti fossero obbligati, dice Google, finirebbero per non usare Gmail.

Il metodo più semplice per attivare questa verifica in due passaggi è andare a myaccount.google.com e scegliere Controllo sicurezza e poi Verifica in due passaggi: lì troverete le istruzioni dettagliate. Fatelo: è un antifurto molto efficace e non oneroso.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Instagram attiva l'autenticazione a due fattori per tutti

Instagram attiva l’autenticazione a due fattori per tutti


Ieri Instagram ha annunciato l’attivazione per tutti dell’autenticazione a due fattori, preannunciata a gennaio di quest’anno: per adottare questa protezione importante del proprio account basta andare nell’app di Instagram, toccare l’icona dell’omino in basso a destra, toccare l’icona in alto a destra (ingranaggio su iOS, tre puntini su Android), e poi toccare la voce Autenticazione a due fattori. Maggiori dettagli sono in questo mio articolo e nella guida di Instagram.

Un’altra novità di Instagram che verrà attivata progressivamente a tutti gli utenti sarà la sfocatura delle immagini e dei video che sono stati segnalati come sensibili dagli utenti ma comunque non violano le regole di Instagram. Questo dovrebbe ridurre il rischio di trovarsi di colpo sotto gli occhi immagini scioccanti o inadatte. Instagram mette a disposizione maggiori informazioni presso  instagram-together.com e nel Centro assistenza.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
WhatsApp attiva l’antifurto: verifica in due passaggi

WhatsApp attiva l’antifurto: verifica in due passaggi

Ultimo aggiornamento: 2017/02/17 11:05.

WhatsApp ha finalmente attivato l’antifurto, o più precisamente la verifica in due passaggi: una tecnica contro il furto di account già adottata da tempo da Facebook, Instagram, Google, Apple e molti altri servizi di Internet. Questa verifica in due passaggi in gergo tecnico si chiama autenticazione a due fattori e risolve una lacuna di sicurezza importante, che consentiva finora a un aggressore di rubare un account WhatsApp sapendo soltanto il numero di telefonino della vittima e sfruttando alcune astuzie informatiche.

Per abilitare la verifica in due passaggi, che è disponibile sia per dispositivi iOS di Apple, sia per dispositivi Android di tutte le marche, andate nelle Impostazioni di Whatsapp, scegliete la voce Account e poi scegliete Verifica in due passaggi. Se non c’è, provate ad aggiornare l’app di WhatsApp: forse ne state usando una versione vecchia.

 

In questa voce Verifica in due passaggi scegliete Abilita.

 A questo punto immettete un codice di accesso a sei cifre, da tenere segreto…

…digitatelo una seconda volta per confermarlo, prendetene nota per non perderlo, immettete facoltativamente un indirizzo di mail da usare se vi dimenticate il codice numerico…

… e il gioco è fatto.

Questo codice numerico non vi verrà chiesto ogni volta che usate WhatsApp, ma solo ogni tanto, per evitare che ve lo dimentichiate. A parte questo, sarà necessario digitarlo soltanto quando cambiate smartphone o se volete aggiungere al vostro account WhatsApp un altro numero di telefono o un altro dispositivo. Cosa più importante, con questo antifurto un ladro informatico, per rubarvi l’account, dovrebbe conoscere il vostro codice e anche avere accesso a uno dei vostri dispositivi abilitati a usare WhatsApp: una situazione decisamente improbabile.

Se non avete un indirizzo di mail da affidare a WhatsApp, non c’è problema: l’antifurto funziona lo stesso. Per contro, se avete dato un indirizzo di mail a WhatsApp, fate attenzione se ricevete delle mail che contengono inviti a disabilitare questa verifica in due passaggi: se non le avete richieste voi, sono dei tentativi di furto che questa nuova protezione ha sventato.

La verifica in due passaggi può sembrare una complicazione inutile, ma provate a chiedere a qualcuno a cui hanno rubato l’account come si sente ora che i suoi messaggi e le sue foto sono visibili al ladro, che potrebbe usarli per ricattarlo.

Provate questa nuova misura di sicurezza: mal che vada, potete sempre disabilitarla, e potete farlo anche se non ricordate il codice numerico o l’indirizzo di mail che avete impostato: basta infatti rientrare nelle Impostazioni, scegliere Verifica in due passaggi e poi Disabilita.

Una volta tanto, insomma, avere maggiore sicurezza anche in WhatsApp è facile. Non approfittarne sarebbe davvero un peccato. E anche se secondo le indagini di Andrea Draghetti ci sono delle lacune importanti, questa novità è comunque un deterrente e un ostacolo in più per i malintenzionati opportunisti.


 Fonte: The Hacker News.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Dropbox: 68 milioni di account violati, ma password datate 2012

Dropbox: 68 milioni di account violati, ma password datate 2012

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/08/31 11:50.

Troy Hunt di HaveIBeenPwned segnala di aver confermato l’autenticità della collezione di circa 68 milioni di indirizzi di mail e corrispondenti hash di password di Dropbox che sta circolando nei bassifondi di Internet, perché vi ha trovato l’hash della password dell’account di sua moglie, che era stato generato da un gestore di password robuste.

Brutta storia: l’attenuante è che non si tratta delle password in chiaro ma della loro versione hash (che richiede un notevole impegno di calcolo per risalire alla password vera e propria) e che le password risalgono (a quanto risulta) al 2012, per cui se avete cambiato la vostra password di Dropbox dopo quella data siete in salvo da questo saccheggio di massa.

Dropbox sta avvisando via mail gli utenti coinvolti e li sta obbligando a un cambio di password quando accedono al servizio. Anche HaveIBeenPwned sta mandando avvisi agli utenti Dropbox che trova nella collezione e che si sono iscritti al suo servizio di notifica (come il sottoscritto).

Attenzione ai falsi messaggi di avviso, che verranno sicuramente disseminati dai truffatori per tentare di rubare gli account.

Se non l’avete già fatto, attivate l’autenticazione a due fattori anche su Dropbox. Non dimenticate che se qualcuno prende il controllo del vostro account Dropbox, non solo può leggere tutti i vostri dati e documenti, ma può anche cancellarli dai vostri computer.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.