furto di password – Pagina 2

Quora, 100 milioni di account violati

Ultimo aggiornamento: 2018/12/08 23:30.

Ah, che gioia iniziare la giornata con una mail che ti avvisa che uno dei tuoi account online è stato violato, non per colpa tua ma per inettitudine di chi dovrebbe custodire i tuoi dati.

È successo anche a me con Quora, un sito nel quale si pubblicano domande e si chiedono le risposte degli esperti e che si è fatto fregare i dati di cento milioni di utenti, come riferisce Naked Security.

Visto che vi ho contribuito con qualche risposta, mi è arrivata infatti questa simpatica comunicazione da parte di Quora:

Dear Paolo Attivissimo,

We are writing to let you know that we recently discovered that some user data was compromised as a result of unauthorized access to our systems by a malicious third party. We are very sorry for any concern or inconvenience this may cause. We are working rapidly to investigate the situation further and take the appropriate steps to prevent such incidents in the future.

What Happened

On Friday we discovered that some user data was compromised by a third party who gained unauthorized access to our systems. We’re still investigating the precise causes and in addition to the work being conducted by our internal security teams, we have retained a leading digital forensics and security firm to assist us. We have also notified law enforcement officials.

While the investigation is still ongoing, we have already taken steps to contain the incident, and our efforts to protect our users and prevent this type of incident from happening in the future are our top priority as a company.

What information was involved

The following information of yours may have been compromised:

Account and user information, e.g. name, email, IP, user ID, encrypted password, user account settings, personalization data

Public actions and content including drafts, e.g. questions, answers, comments, blog posts, upvotes

Data imported from linked networks when authorized by you, e.g. contacts, demographic information, interests, access tokens (now invalidated)

Questions and answers that were written anonymously are not affected by this breach as we do not store the identities of people who post anonymous content.

What we are doing

While our investigation continues, we’re taking additional steps to improve our security:

We’re in the process of notifying users whose data has been compromised.
Out of an abundance of caution, we are logging out all Quora users who may have been affected, and, if they use a password as their authentication method, we are invalidating their passwords.
We believe we’ve identified the root cause and taken steps to address the issue, although our investigation is ongoing and we’ll continue to make security improvements.

We will continue to work both internally and with our outside experts to gain a full understanding of what happened and take any further action as needed.

What you can do

We’ve included more detailed information about more specific questions you may have in our help center, which you can find here.

While the passwords were encrypted (hashed with a salt that varies for each user), it is generally a best practice not to reuse the same password across multiple services, and we recommend that people change their passwords if they are doing so.

Conclusion

It is our responsibility to make sure things like this don’t happen, and we failed to meet that responsibility. We recognize that in order to maintain user trust, we need to work very hard to make sure this does not happen again. There’s little hope of sharing and growing the world’s knowledge if those doing so cannot feel safe and secure, and cannot trust that their information will remain private. We are continuing to work very hard to remedy the situation, and we hope over time to prove that we are worthy of your trust.

The Quora Team

Quello che si scrive su Quora è normalmente pubblico, per cui il problema principale qui è sapere qual è la sorte delle password trafugate. Chi ha usato su Quora la stessa password che ha usato altrove dovrebbe considerarla compromessa e quindi cambiarla. Quora dice che le password erano protette da cifratura, ma non specifica quale. Alcune cifrature sono particolarmente facili da decifrare.

Chi invece, come me, si è loggato su Quora usando la login di Google o Facebook farebbe bene a impostare in Quora una password apposita andando qui e cliccando su Change password: riceverà una mail con le istruzioni da seguire. In pratica dovrà creare una password apposita per Quora (ovviamente differente da quelle usate altrove) e scollegare il proprio profilo Quora da quello Google (sempre nelle impostazioni).

Come segnalato nei commenti, è opportuno inoltre andare a myaccount.google.com/permissions e cliccare su Rimuovi accesso per Quora.

Tentativo di rubare password alla SUPSI (Scuola universitaria professionale della Svizzera italiana)

2018-12-14
di Paolo Attivissimo
furto di password, phishing, ReteTreRSI, Svizzera

D3LabIT mi segnala questo tentativo di phishing ai danni degli utenti della SUPSI, la Scuola universitaria professionale della Svizzera italiana. La falsa pagina di login, mostrata qui sopra, si trova in realtà presso https://fusioncya punto com/sup/. Gli altri link nella pagina portano alle pagine corrispondenti del vero sito SUPSI.

I truffatori probabilmente portano le vittime su questa pagina mandando loro dei messaggi (mail o altri canali di messaggistica) contenenti un link che apparentemente porta al sito della SUPSI ma in realtà porta al sito dei truffatori. È sempre pericoloso cliccare su link contenuti in messaggi; diffidate di quelli che vi portano a pagine di login.

Notate il lucchetto, che può dare un falso senso di sicurezza: indica soltanto che la comunicazione è cifrata, ma non autentica il sito che lo presenta. Il certificato digitale che fa mostrare al browser questo lucchetto è fornito in questo caso gratuitamente da Let’s Encrypt.

Dopo aver cliccato su Login nella pagina dei ladri di password si viene portati alla vera pagina di login della SUPSI (https://webmail.ti-edu.ch/). Questo fa credere all’utente che ci sia stato semplicemente un banale errore di immissione, perfezionando l’inganno.

La falsa pagina di login.

La vera pagina di login.

Ovviamente non bisogna mai immettere password in pagine come questa. Se l’avete fatto, cambiate immediatamente la vostra password visitando il sito vero. Per essere sicuri di visitare il sito vero, digitatene a mano il nome nel vostro browser.

@supsi_ch vi segnaliamo una campagna di phishing a danno dei vostri utenti. Target la posta elettronica. Pagine clone su https[:]//fusioncya[.]com/sup/@PoliziaTI @disinformatico pic.twitter.com/7NNXmS3wel

— D3LabIT (@D3LabIT) December 13, 2018

Può avere senso visitare in massa la pagina dei ladri di password e immettere dati fasulli, in modo da inquinare e rendere inservibile l’archivio di login e password che stanno accumulando? È probabile. In ogni caso, prudenza.

2018/12/14 10:30. Firefox ora segnala il sito truffaldino come pericoloso, grazie a Google Safe Browsing.

iOS si aggiorna e risolve falla su codici QR

2018-04-30
di Paolo Attivissimo
aggiornamenti software, codici QR, furto di password, iOS, Mac OS X, ReteTreRSI

L’app Fotocamera di iOS, dalla versione 11 del sistema operativo, è in grado di decodificare i codici QR: basta inquadrarli e compare il testo equivalente.

È una funzione molto comoda, per esempio per indicare un link complicato a un sito, ma ha un difettuccio: è possibile ingannare questa decodifica e farle visualizzare il nome di un sito innocuo mentre in realtà il link porta a un sito ostile.

Lo ha scoperto il ricercatore di sicurezza informatica Roman Mueller di Infosec. Ha creato un codice QR contenente questo URL:

https://xxx\@facebook.com:443@infosec.rm-it.de/

e lo ha mostrato alla Fotocamera di iOS, che lo ha decodificato e gli ha chiesto se voleva “aprire ‘facebook.com’ in Safari”.

Chiaramente questo errore di interpretazione sarebbe usabilissimo per un attacco informatico, per esempio per un furto di password: basta creare un codice QR che visualizzi il nome di un sito nel quale l’utente è abituato a immettere una password (per esempio Google o Instagram o, appunto, Facebook) ma che porti in realtà a un sito-clone, gestito dal ladro di password, che ha la stessa grafica del sito autentico. L’utente si fida di quello che gli ha mostrato iOS (il nome del sito autentico), non fa ulteriori controlli e così immette la propria password nel sito del truffatore, che se la porta via.

Un altro esempio ancora più semplice è un codice QR che porta a un sito che visualizza il famoso carattere in lingua telugu che blocca gli iPhone non pienamente aggiornati.

La falla dei codici QR è in circolazione da qualche mese, ma c’è una buona notizia: Apple l’ha finalmente corretta il 24 aprile scorso con la versione 11.3.1 di iOS (e anche con la versione 10.13.4 di macOS). Conviene quindi installare questo aggiornamento con la procedura consueta (dopo aver fatto una copia di backup dei propri dati, per sicurezza): Impostazioni – Generali – Aggiornamento software.

Fonte aggiuntiva: Intego.

Meno del 10% degli utenti Gmail usa l’“antifurto” gratuito offerto da Google

2018-01-27
di Paolo Attivissimo
autenticazione a due fattori, furto di password, Gmail, Google, ReteTreRSI

Gmail è usato da un miliardo di utenti, ma meno del 10% di questi usa la verifica in due passaggi per proteggersi contro i furti di password, secondo i dati resi pubblici recentemente da Google, nonostante siano ormai sette anni che questa funzione è disponibile su base volontaria.

Come mai sono così pochi, e perché Google non la rende obbligatoria? La spiegazione, a quanto pare, è che per molti utenti le varie opzioni di verifica in due passaggi sono troppo numerose e complicate: se gli utenti fossero obbligati, dice Google, finirebbero per non usare Gmail.

Il metodo più semplice per attivare questa verifica in due passaggi è andare a myaccount.google.com e scegliere Controllo sicurezza e poi Verifica in due passaggi: lì troverete le istruzioni dettagliate. Fatelo: è un antifurto molto efficace e non oneroso.

Le password peggiori dell’anno

We Live Security ha pubblicato una classifica delle password più comuni, basata sulle password saccheggiate nel corso del 2017, che è stato un anno spettacolare da questo punto di vista.

Le presento senza commento perché sono desolanti. Anni di raccomandazioni buttati al vento.

1. 123456
2. password
3. 12345678
4. qwerty
5. 12345
6. 123456789
7. letmein
8. 1234567
9. football
10. iloveyou
11. admin
12. welcome
13. monkey
14. login
15. abc123
16. starwars
17. 123123
18. dragon
19. passw0rd
20. master
21. hello
22. freedom
23. whatever
24. qazwsx
25. trustno1
26. 654321
27. jordan23
28. harley
29. password1
30. 1234

Tenete presente che queste password sono nel repertorio di qualunque criminale o aspirante criminale informatico. Non usatele e assicuratevi che non le usi nessuno. E già che ci siete, attivate l’autenticazione a due fattori, se potete.

Come far sembrare autentico un sito falso: aprire una ditta di nome “Identity Verified”

2017-12-15
di Paolo Attivissimo
furto di password, phishing, ReteTreRSI, truffe

Ultimo aggiornamento: 2017/12/15 10:35.

Una delle consuetudini errate ma molto diffuse tra gli internauti è che se un sito mostra accanto al nome un lucchetto chiuso si tratta di un sito autentico e quindi vi si può immettere tranquillamente la propria password (non si tratta, insomma, di un sito-fotocopia di phishing). Questo era abbastanza vero fino a qualche anno fa, ma in realtà oggi il lucchetto indica soltanto che la comunicazione con il sito è criptata e non è più una forma di autenticazione, perché adesso chiunque può procurarsi un certificato digitale di sicurezza (che attiva la visualizzazione del lucchetto) anche gratuitamente, come scrivevo pochi giorni fa.

Il ricercatore di sicurezza informatica James Burton ha trovato un modo ingegnoso per rendere ancora più credibile un sito falso, ed è meglio conoscerlo per non farsi ingannare.

Burton ha aperto una ditta nel Regno Unito (un’operazione molto semplice e poco costosa) e l‘ha chiamata Identity Verified. Poi si è rivolto a Symantec e si è fatto dare un certificato digitale di sicurezza per aziende intestato alla Identity Verified e associato al proprio sito personale Nothing.org.uk, con un periodo di prova gratuito di trenta giorni (il certificato è stato revocato dopo la pubblicazione dell’articolo del ricercatore). Infine ha creato sul proprio sito una copia delle pagine di login di Google e Paypal.

Risultato: una vittima che visita il sito con il proprio iPhone e Safari (per esempio perché ha cliccato su un link in una mail che finge di essere un allarme di Google o Paypal) si trova davanti quello che si aspetta, ossia la schermata di immissione password di Google o Paypal, e vede in alto, al posto del nome del sito (che potrebbe rivelare l’inganno), le parole rassicuranti Identity Verified. Parole che sembrano autenticare il sito, ma sono semplicemente il nome della ditta.

Il browser Safari di Apple, infatti, quando incontra un sito criptato da un certificato digitale di sicurezza, mostra al posto del nome del sito il nome riportato nel certificato.

Va un pochino meglio, ma non molto, con altri browser, come Google Chrome, che visualizzano il nome del sito ma gli affiancano un rassicurante lucchetto verde con la dicitura Identity Verified.

Morale della storia: non fidatevi di quello che vedete nel browser dopo aver cliccato su un link ricevuto in un messaggio di allerta. Meglio ancora, non cliccate su questo genere di link ma visitate manualmente il sito citato nel link, scrivendone il nome oppure usando i Preferiti se l’avete già salvato tra i Preferiti.

Lucchetto chiuso, icona sempre più usata dai truffatori online

2017-12-15
di Paolo Attivissimo
furto di password, phishing, RadioInBlu, sicurezza informatica

Rispondete al volo: che cosa significa l’icona del lucchetto chiuso che si vede ogni tanto accanto al nome di un sito Internet? Per molti utenti significa sicurezza e autenticità. Si consiglia spesso di controllare che quest’icona sia presente prima di digitare una password o immettere dati personali in un sito, e alcune app di navigazione, come per esempio Google Chrome, visualizzano la parola “Sicuro” accanto a questo lucchetto.

Ma in realtà la parola “sicuro” è un po’ ingannevole e può creare un falso senso di fiducia che apre le porte ad alcune truffe informatiche. Questo lucchetto, infatti, non garantisce affatto che il sito sia autentico: indica soltanto che i dati che immettiamo vengono trasmessi via Internet in maniera criptata e quindi difficilissima da intercettare. Non dice nulla sull’identità e sull’affidabilità del sito.

Questo vuol dire che i truffatori possono costruire un sito che imita visivamente l’aspetto grafico di un sito famoso (per esempio quello di Facebook, di Google, di una banca o di un negozio) e poi possono inviare alla vittima una mail o un messaggio Facebook o WhatsApp per invitarla a visitare il sito fraudolento e poi digitarvi la propria password per rubargliela, con l’impressione rassicurante di trovarsi nel sito autentico perché viene visualizzato il lucchetto chiuso insieme alla parola “Sicuro.”

La vittima si salverà da questa trappola (chiamata in gergo phishing) soltanto se noterà che il nome del sito non è quello giusto. Ma sono in pochi a controllare anche il nome di ogni sito che visitano: di solito ci si ferma a controllare l’aspetto visivo del sito e la presenza del lucchetto, specialmente sugli schermi piccoli dei telefonini, e nulla più.

Secondo dati pubblicati pochi giorni fa dalla società di sicurezza PhishLabs, oggi un quarto dei siti-trappola creati dai truffatori per rubare password mostra il lucchetto chiuso. Un aumento straordinario, visto che soltanto un anno fa i siti truffaldini con questa capacità erano meno del tre per cento.

Questo boom significa che i ladri di password si sono resi conto che gli utenti abbassano le proprie difese quando vedono il lucchetto chiuso e quindi si sono attrezzati in massa per mostrarlo. Cade così una delle raccomandazioni di sicurezza più diffuse e longeve: oggi non basta più cercare il lucchetto chiuso ma bisogna anche controllare che il nome del sito sia quello giusto, ed è facile confondersi. Per esempio, il sito della vostra banca, o quello di quel negozio online che usate spesso, si scrive con o senza il trattino in mezzo?

Per evitare tutti questi rischi per fortuna c’è una soluzione: ignorare qualunque messaggio che ci inviti a cliccare su un link per visitare un sito e usare invece l’app corrispondente al sito. Per esempio, invece di seguire un link che sembra portarci ad Amazon, su smartphone e tablet ci conviene usare l’app di Amazon, che ci porta sicuramente al sito autentico. Sui computer, invece, saremo più sicuri se cliccheremo sui Preferiti, dove abbiamo registrato il nome esatto del sito in questione. Tutto qui.

Fonte aggiuntiva: Naked Security. Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 12 dicembre 2017.

Ecco perché si raccomanda di usare password differenti

Uno degli errori più comuni nella sicurezza informatica è usare la stessa password dappertutto, nella convinzione che se è sufficientemente complicata non verrà indovinata da nessuno.

Il difetto fatale di questo approccio è che se viene violato uno qualsiasi dei siti nei quali abbiamo usato quella password, i criminali informatici hanno in mano le chiavi di tutti i siti e servizi che usiamo: social network, mail, negozi online, account nelle reti di gioco, eccetera.

Usare la stessa password dappertutto, insomma, è come dare una copia delle proprie chiavi di casa a tutti i negozianti che incontriamo e sperare che tutti, dal primo all’ultimo, le custodiscano con cura perfetta e nessuno se le faccia rubare da un malintenzionato.

Purtroppo non tutti i negozianti custodiscono in modo assolutamente sicuro le password dei clienti. Un caso concreto viene segnalato dalla Centrale d’annuncio e d‘analisi per la sicurezza dell’informazione svizzera (MELANI), che pochi giorni fa ha annunciato che sono stati trafugati i dati d’accesso di circa 70.000 utenti di un noto sito svizzero di vendita di DVD. Secondo HaveIbeenPwned, le password erano custodite in chiaro: l’equivalente informatico di lasciare le chiavi di casa sotto lo zerbino.

Chiunque abbia usato altrove la password che ha usato su quel sito deve presumere che la sua password non sia più un segreto e farebbe quindi bene a cambiarla dappertutto. MELANI ha messo a disposizione un minisito, Checktool.ch, nel quale si può immettere il proprio indirizzo di mail (non la password!) per sapere se si è coinvolti in questo furto di massa.

È importante ricordare che i ladri di password rubano i dati di chiunque e che quindi non bisogna pensare “io non sono nessuno, a chi vuoi che interessi la mia password?”, come purtroppo sento spesso obiettare.

E già che siete in ballo a cambiare le password, attivate la verifica in due passaggi o l’autenticazione a due fattori presente in quasi tutti i siti importanti: fa da ulteriore protezione contro i furti.

Due parole sulle vulnerabilità di Rousseau

2017-08-08
di Paolo Attivissimo
Beppe Grillo, furto di password, teatrino della sicurezza

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2017/08/08 23:45.

Non mi dilungo sui dettagli tecnici della questione Rousseau che è divampata nei media generalisti: li ha già raccontati egregiamente David Puente in una serie di articoli. Segnalo solo alcuni fatti che forse sono stati poco evidenziati o volutamente confusi.

– Il primo “attacco” non è stato un attacco, ma ha segnalato responsabilmente in privato a Rousseau alcune sue vulnerabilità e le ha pubblicate online solo dopo che erano state corrette. Vulnerabilità, fra l’altro, equivalenti a mettere una serratura di cioccolato sulla porta di casa: limite massimo di 8 caratteri per le password e un banalissimo SQL injection, talmente classico che c’è persino la vignetta di Xkcd apposita (spiegone).

– Non è vero che le informazioni pubblicate su queste vulnerabilità sono state rimosse perché Rousseau o altri hanno preso delle “contromisure”. Beppegrillo.it scrive che “il suo sito [quello del segnalatore] è già scomparso così come i suoi account social, segno che le contromisure contro questi reati funzionano e siamo lieti che siano state così tempestive”. No. La riservatezza professionale mi impedisce di dire altro, ma la chiusura degli account del primo segnalatore non è merito di alcuna “contromisura”. Tant’è vero che gli account sono tornati online. Bullarsi di quello che non si è fatto è boriosamente stupido, per non dir di peggio.

— L’incursione non ha richiesto talento speciale. Non stiamo parlando di forzare chissà quali ostacoli. Questo era un castello costruito col fango che non ha retto all’uso di un innaffiatoio; è l’equivalente di lasciare la porta di casa socchiusa e i gioielli in bella vista sul tavolino all’ingresso.

— Lo stesso post su Beppegrillo.it dichiarava che “Sono già state messe in atto tutte le azioni necessarie per impedire il ripetersi di intrusioni informatiche come questa.” Beh, mica tanto e di certo non tutte, dato che qualcun altro è riuscito comunque a entrare subito dopo.

— Il successivo furto di dati vero e proprio (quello rivendicato da r0gue_0) ha rivelato che Rousseau non ha preso neppure le misure di sicurezza più basilari. Per l’amor del cielo, le password degli utenti erano conservate in chiaro in un database. Lo sanno anche i muri che le password si custodiscono in modo crittografato tale che neanche il gestore del sistema possa decifrarle (hashing e salting), proprio per evitare i danni di massa causati da attacchi come questo. In questo modo, se vengono rubati i dati, perlomeno non sono leggibili (o è enormemente oneroso leggerli).

— Chi minimizza dicendo che tanto non erano in corso “votazioni” non ha capito la gravità degli eventi oppure sta volutamente mettendo la testa nella sabbia. Evidentemente non ha considerato che comunque l’affiliazione politica è un dato delicato e personale e che inevitabilmente molti utenti di Rousseau avranno usato la stessa password altrove e quindi ora sono esposti al rischio di furto di account e rivelazione di altre informazioni personali. E non ha considerato che la fiducia degli utenti è stata tradita: non stiamo parlando del sito di un circolo di cucito, ma della piattaforma di gestione di uno dei movimenti politici più significativi di un paese. Se questo è il modo in cui si pensa di gestire la democrazia digitale, è meglio lasciar perdere e trovare qualcuno che ci capisca.

— Chiamare Rousseau “sistema operativo” (come fa Beppegrillo.it a firma di “Associazione Rousseau”) significa dichiarare di essere capre in informatica. Un sistema operativo è del software che dialoga con l’hardware e fa da interprete e servitore per le applicazioni. Windows, Android, MacOS, iOS, Linux sono esempi di sistemi operativi: Rousseau no. È un sito, un portale, una piattaforma gestionale, ma non un sistema operativo. Chiamarlo sistema operativo è come vedere un cavallo e chiamarlo automobile.

Se volete altre opinioni sulla sicurezza di Rousseau, date un’occhiata a questo articolo su Formiche.net e a questo su Il Post.

2017/08/08 16:20. Rousseau protegge le password con un sistema preistorico che si supera in dodici secondi, secondo questa analisi.

2017/08/08 23:45. Ho aggiornato per chiarire il concetto di crittografia dei dati.

La posta del Disinformatico: aiuto, mi hanno rubato l’account del Playstation Network

2017-01-15
di Paolo Attivissimo
furto di password, Playstation, ReteTreRSI

Ultimo aggiornamento: 2017/01/15 11:00.

Mi scrive Kevin con un problema di Playstation:

oggi mi hanno rubato l’account della playstation e hanno cambiato password e data di nascita, quindi non posso recuperarlo, il problema oltre ad aver perso l’account è che i giochi li ho presi tutti in digitale, e non avendo più il mio account principale mi è impossibile usarli, c’è una qualche soluzione a ciò?

Ho chiesto a Luca “Paltrax” Paltrinieri, esperto locale della Rete Tre RSI, che ha spiegato come risolvere il problema: bisogna contattare Sony via mail (l’indirizzo è un po’ nascosto nel sito, ma per la Svizzera è service@ch.playstation.com) e avere pazienza, senza tentare rimedi improvvisati.

Entro un giorno Sony risponde, di solito in lingua italiana, e fornisce anche un numero di telefono per dare istruzioni in diretta se non bastano quelle trasmesse via mail. La console di gioco ha un numero identificativo univoco, stampigliato sul dispositivo, che bisogna comunicare a Sony. Questo consente a Sony di ripristinare tutte le impostazioni originali e restituire il maltolto.

Lo spiegone di Luca, che ha subito un attacco piuttosto simile, è ascoltabile in forma estesa nel podcast della puntata del Disinformatico da 6:50 in poi.

Come misura di prevenzione, per evitare che il furto si ripeta, consiglio l’attivazione della verifica in due passaggi, per cui quando ci si collega alla rete di gioco è necessario digitare anche un PIN che ci arriva sul telefonino.

Per maggiori informazioni segnalo anche questi tre link (in inglese): Playstation Community, Reddit, Digital Trends.

2017/01/15 11:00

Kevin mi ha scritto aggiornandomi sulla situazione:

Alla fine sono riuscito a risolvere bypassando il controllo di sicurezza della Sony e a reimpostare la password, una cosa che consiglio a tutti i gamer è di attivare il controllo in 2 fasi, così da rendere quasi impossibile il furto dell’account