furto di password – Pagina 3

Disastro Yahoo: un miliardo di account violati. Dal 2013

2016-12-27
di Paolo Attivissimo
falle di sicurezza, furto di password, ReteTreRSI, Yahoo

Ultimo aggiornamento: 2016/12/20 15:00.

Circa tre mesi fa Yahoo ha fatto scalpore annunciando che si era fatta rubare le credenziali di circa 500 milioni di account: un record assoluto.

Ora è arrivata la segnalazione di un furto di account ancora più grande, che ha effetto su un miliardo di account. E l’azienda colpita è di nuovo Yahoo. Ho anch’io un vecchio account Yahoo, sul quale ho ricevuto l’avviso di sicurezza riguardante questa nuova scoperta.

Una brutta figura, insomma, peggiorata dal fatto che l’annuncio del furto ammette che i dati sono stati sottratti ad agosto del 2013 ma gli utenti ne vengono avvisati soltanto adesso. In altre parole, i buoi non sono soltanto già scappati dal recinto: nel frattempo hanno fatto famiglia e messo su casa.

La cosa è grave, perché in questo nuovo attacco sono stati trafugati nomi, indirizzi di mail, numeri di telefono, date di nascita e domande di recupero password: tutto il necessario, insomma, per fare attacchi e truffe in massa.

I guai di Yahoo non finiscono qui: una ricerca segnala che i servizi al pubblico dell’azienda avevano una falla talmente grave che un aggressore poteva leggere le mail di qualunque utente Yahoo semplicemente mandando all’utente una mail appositamente confezionata; non aveva bisogno di conoscere password o altro. Se la vittima leggeva la mail-trappola, l’aggressore prendeva il controllo completo dell’account, come spiega We Live Security. Lo scopritore della falla (Jouko Pynnönen, della società di sicurezza informatica finlandese Klikki Oy) ha ricevuto da Yahoo una ricompensa di 10.000 dollari per aver segnalato il problema all’azienda in modo responsabile.

A questo punto molti utenti si staranno chiedendo cosa fare con i propri account Yahoo. Gli esperti di sicurezza informatica, come Graham Cluley, hanno stilato una serie di consigli, utili soprattutto per chi, per qualche ragione, non può evitare di usare Yahoo:

– prima di tutto, cambiate password su Yahoo e usatene una lunga e complessa oltre che diversa da quelle usate altrove;
– se avete usato la stessa password per altri siti, cambiatela subito anche in questi altri siti;
– attivate la verifica in due passaggi, che vi manda sullo smartphone un codice di sicurezza supplementare se qualcuno tenta di entrare nel vostro account da un dispositivo non vostro;
– riducete al minimo indispensabile il vostro uso di Yahoo;
– non usate Yahoo per comunicazioni riservate o confidenziali;
– fate attenzione più che mai, d’ora in poi, a eventuali mail, messaggi o telefonate di soggetti che cercano di autenticarsi dicendo di sapere il vostro nome, cognome, data di nascita e numero di telefono: potrebbero essere truffatori.

Da parte mia aggiungo che è opportuno controllare anche gli eventuali servizi collegati all’account, come per esempio quelli di Flickr, sito dedicato alle fotografie, per il quale è obbligatorio un account Yahoo (ho cambiato di nuovo la password anche se avevo già attivato la verifica in due passaggi, ho tolto tutti i collegamenti di Flickr a Twitter e altri social network e ho cancellato tutte le autorizzazioni Flickr delle applicazioni di terzi).

Se non avete un account Yahoo, non compiacetevi troppo: queste regole valgono infatti per tutti i fornitori di account, e purtroppo l’esperienza insegna che è solo questione di tempo prima che un furto come questo capiti a qualche altro fornitore. Siate prudenti.

400 milioni di password rubate ad Adult Friend Finder e altri siti d’incontri

Un altro giorno, un altro sito violato: stavolta è toccato ad Adult Friend Finder, sito d’incontri per adulti, che si è fatto sottrarre oltre 400 milioni di credenziali degli utenti con le rispettive password.

Il furto è avvenuto a causa di un difetto nell’impostazione del sito, che rendeva accessibili via Internet dei file che non dovevano essere a portata di tutti.

La fuga di dati ha permesso di scoprire che quasi un milione di questi utenti adopera come password la sequenza 123456 e che oltre centomila usano invece la parola password.

Adult Friend Finder usava metodi decisamente rudimentali per custodire le password dei propri utenti e non sembra aver imparato molto dal furto precedente, avvenuto a maggio del 2015.

La collezione di credenziali rubate è in circolazione in Rete e include anche i dati di 62 milioni di utenti di Cams.com, 7 milioni di utenti di Penthouse.com, oltre un milione di utenti di Stripshow.com e iCams.com, secondo LeakedSource.

Gli esperti di sicurezza si aspettano che i dati rubati verranno presto usati per ricattare gli utenti, come era successo nel caso di AshleyMadison. Il ricatto potrebbe essere molto deleterio, non solo per la natura intima dei siti violati ma anche per il fatto che in alcuni casi gli utenti si sono iscritti usando la mail di lavoro (5650 account sono presso siti .gov e ben 78.301 sono presso siti .mil).

Tripwire sottolinea che chiunque fosse coinvolto in questo furto di dati farebbe bene a cambiare immediatamente la propria password presso i siti violati e a non usare altrove la password usata per registrarsi presso Adult Friend Finder e soci. Come regola generale, inoltre, chi si iscrive a un sito che potrebbe causare imbarazzi farebbe bene a usare un indirizzo di mail diverso da quello di lavoro e da quello usato abitualmente.

Yahoo, oltre 500 milioni di password rubate. Due anni fa, lo ammettono adesso

2016-09-26
di Paolo Attivissimo
furto di password, password, ReteTreRSI, Yahoo

È probabilmente il più grande furto di dati mai rivelato: Yahoo ha annunciato ieri di aver subito la sottrazione di dati riguardanti “almeno 500 milioni di account”: i dati rubati potrebbero includere “nomi, indirizzi di mail, numeri di telefono, date di nascita, password in formato hash […] domande e risposte di sicurezza non cifrate”.

Come se non bastasse, il furto è avvenuto due anni fa, verso la fine del 2014, e viene annunciato soltanto adesso, proprio nel momento in cui Yahoo sta cercando di farsi acquistare dall’operatore di telecomunicazioni statunitense Verizon.

Per Yahoo è un’umiliazione totale, e vale poco il tentativo di giustificarsi agli occhi del pubblico generico incolpando del furto “entità sostenute da governi”, fra l’altro senza presentare alcuna prova di quest’accusa, Invocare potenti nemici di stato è un modo per insinuare che non è colpa di Yahoo perché contro certi attacchi non si può fare nulla. Ma qui non è solo questione di essere stati attaccati: c’è anche il fatto di non aver scoperto e annunciato il furto per due anni, nonostante circolassero da qualche tempo voci in proposito. Una dimostrazione di incompetenza piuttosto ineludibile.

Cosa fare se avete un account Yahoo?

– prima di tutto, cambiate password e usatene una lunga e complessa, che sia diversa da quelle usate altrove;
– se avete usato la stessa password per altri siti, cambiatela anche in questi altri siti;
– attivate la verifica in due passaggi, che vi manda sullo smartphone un codice di sicurezza supplementare se qualcuno tenta di entrare nel vostro account da un dispositivo non vostro;
– fate attenzione a eventuali mail, messaggi o telefonate di soggetti che cercano di autenticarsi dicendo di sapere il vostro nome, cognome, data di nascita e numero di telefono: potrebbero essere truffatori.

Per chi si chiede se i dati di un account possono essere utili a governi ostili o a criminali se non sono accompagnati da password: sì, perché consentono tentativi di phishing mirato molto credibili. E considerato che Yahoo è usato prevalentemente da persone meno giovani, il bottino potrebbe essere particolarmente ricco di profili di persone abbienti e di dipendenti governativi.

Fonti aggiuntive: Motherboard, Graham Cluley.

Se avete un account su Libero.it, cambiate password e occhio alle truffe

2016-09-08
di Paolo Attivissimo
attacchi informatici, furto di password, Libero.it

Questo articolo vi arriva gratuitamente grazie alle donazioni dei lettori. Se vi piace, potete farne una per incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Il database che contiene le password degli utenti di Libero.it è stato trafugato. Libero ha mandato un avviso agli utenti, annunciando un “attacco informatico […] con accesso al database che custodisce, in formato criptato, le password dei servizi”. Sulle pagine di aiuto di Libero, invece, nessuna avvertenza.

La prima segnalazione della violazione mi è arrivata da OverSecurity via Twitter e in questo articolo; ormai se ne parla un po’ ovunque (TomsHw, IlPost, ZeusNews) con le consuete raccomandazioni: è meglio cambiare la password del vostro account su Libero.it, se ne avete uno, anche se il database era cifrato (stando perlomeno all’avviso di Libero.it) e quindi non è immediato estrarne le password. Inoltre se avete usato su altri siti la password che usate su Libero.it, cambiatela anche in quei siti.

Da parte mia aggiungo che è meglio fare molta attenzione a qualunque avviso, ricevuto via mail o in altro modo, che invita a cliccare da qualche parte per aggiornare la password di Libero.it: ora che la notizia della violazione è in circolazione, è inevitabile che qualche criminale informatico coglierà l’occasione per fare phishing prendendo di mira gli utenti di Libero.it con falsi messaggi apparentemente provenienti dal servizio clienti. Per cambiare la password accedete a Libero.it digitando a mano il nome del sito. Prudenza.

Dropbox: 68 milioni di account violati, ma password datate 2012

2016-08-31
di Paolo Attivissimo
autenticazione, autenticazione a due fattori, Dropbox, furto di password, verifica in due passaggi

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/08/31 11:50.

Troy Hunt di HaveIBeenPwned segnala di aver confermato l’autenticità della collezione di circa 68 milioni di indirizzi di mail e corrispondenti hash di password di Dropbox che sta circolando nei bassifondi di Internet, perché vi ha trovato l’hash della password dell’account di sua moglie, che era stato generato da un gestore di password robuste.

Brutta storia: l’attenuante è che non si tratta delle password in chiaro ma della loro versione hash (che richiede un notevole impegno di calcolo per risalire alla password vera e propria) e che le password risalgono (a quanto risulta) al 2012, per cui se avete cambiato la vostra password di Dropbox dopo quella data siete in salvo da questo saccheggio di massa.

Dropbox sta avvisando via mail gli utenti coinvolti e li sta obbligando a un cambio di password quando accedono al servizio. Anche HaveIBeenPwned sta mandando avvisi agli utenti Dropbox che trova nella collezione e che si sono iscritti al suo servizio di notifica (come il sottoscritto).

Attenzione ai falsi messaggi di avviso, che verranno sicuramente disseminati dai truffatori per tentare di rubare gli account.

Se non l’avete già fatto, attivate l’autenticazione a due fattori anche su Dropbox. Non dimenticate che se qualcuno prende il controllo del vostro account Dropbox, non solo può leggere tutti i vostri dati e documenti, ma può anche cancellarli dai vostri computer.

Motivi per non usare la stessa password dappertutto, puntata numero 802701: MacKeeper

2016-08-15
di Paolo Attivissimo
furto di password, sicurezza informatica

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Sarà capitato anche a voi, quando vi chiedono consigli di sicurezza informatica e proponete di usare password differenti almeno per ciascuno dei siti o servizi più importanti, di ricevere in cambio quello sguardo di compatimento che dice “tu sei troppo paranoico”.

Non è questione di paranoia: è che so come lavora mediamente la gente. C’è un solo termine tecnico per descrivere con precisione il modo in cui la maggior parte delle aziende gestisce la sicurezza, e quel termine tecnico è “col culo”. Scusate la schiettezza, ma quando ci vuole, ci vuole.

Volete un esempio pratico? MacKeeper. Quell’applicazione per OS X particolarmente rompiscatole la cui pubblicità imperversa ovunque e che promette di migliorare le prestazioni e la sicurezza dei Mac. È praticamente inutile se non dannosa, ma lasciamo perdere. Quello che conta, qui, è il modo in cui l’azienda titolare di MacKeeper, la Kromtech, gestiva i dati dei suoi tredici milioni di clienti.

Li metteva in un database in chiaro, accessibile via Internet.

Sì, avete letto bene. Ripeto: Kromtech teneva i dati dei clienti di MacKeeper in un database in chiaro, accessibile via Internet. Comprese le password. Tutti i dettagli deprimenti sono su The Inquirer.

Per cui se avete usato per MacKeeper una password che avete usato altrove, quella password va cambiata. Possono averla letta e copiata cani e porci. Più in generale, diversificate le vostre password, perché questo episodio, l’ennesimo di una lunga serie, conferma che le aziende custodiscono i vostri dati con la stessa cura che un sedicenne dedica ai preservativi dopo l’uso. Non dite che non vi ho avvisato.

Videojacking: come rubare password a uno smartphone usando un caricabatteria

2016-08-12
di Paolo Attivissimo
furto di dati, furto di password, PIN, ReteTreRSI, smartphone

Durante il recente convegno di sicurezza DEF CON di Las Vegas sono state presentate numerose tecniche di attacco informatico davvero creative e originali che è meglio conoscere per evitarle. Una di queste tecniche consente di rubare password, leggere mail e sorvegliare la navigazione semplicemente offrendo alla vittima di caricare la batteria del suo smartphone.

Il trucco, chiamato videojacking, funziona così: la vittima si trova in un luogo pubblico, a corto di carica (come capita spesso con gli smartphone di oggi), e vede che c’è un punto di ricarica per telefonini cortesemente offerto, come capita per esempio in alcuni aeroporti, sui treni e sugli aerei. Collega il telefonino e comincia a usarlo. Che male ci potrà mai essere? È solo una ricarica di energia elettrica.

In realtà i connettori degli smartphone non portano soltanto energia elettrica per la carica della batteria: veicolano anche segnali. Così si catturano questi segnali, e in particolare il segnale video in uscita dal telefonino (quello che consente di mostrare su un monitor lo schermo dello smartphone), in modo da vedere e registrare tutto quello che compare sullo schermo, comprese le password digitate, riconoscibili dal fatto che i singoli tasti toccati per digitare la password si animano quando vengono usati. Questo consente anche di catturare i PIN di blocco.

La particolarità di questa tecnica è che al momento è invisibile per la vittima: sia gli smartphone Android, sia gli iPhone non avvisano l’utente quando viene collegato un connettore che non solo fornisce corrente elettrica ma riceve anche i segnali video dallo schermo.

I ricercatori Brian Markus di Aries Security e i suoi colleghi Joseph Mlodzianowski e Robert Rowley hanno dimostrato il metodo d’intercettazione improvvisando un apparato dimostrativo con un monitor HDMI di seconda mano, un video splitter e un piccolo registratore video USB. Costo complessivo: circa 220 dollari a parte il monitor.

Questa tecnica è una variante del juice jacking, che fino a qualche tempo fa consentiva di rubare dati agli smartphone che venivano incautamente collegati a punti di ricarica sconosciuti; il problema è stato risolto nelle versioni aggiornate dei dispositivi e dei loro sistemi operativi.

Morale della storia: se avete uno smartphone, pensateci bene prima di collegarlo a un dispositivo di ricarica che non sia vostro o comunque fidato, e portate se possibile il vostro o perlomeno usate uno USB condom che blocchi tutti i collegamenti tranne quelli di alimentazione elettrica. No, non sto scherzando: esiste davvero e si chiama proprio così.

Fonte: Krebs on Security.

App per gestire le password: vale la pena di usarle?

Ormai lo sanno anche i muri: usare la stessa password dappertutto è un rischio enorme, e usare password ovvie (date di nascita, nomi, numeri di telefono) è una pessima idea perché rende facilissimo il lavoro degli intrusi informatici, ma sono tanti gli utenti che continuano a fare queste cose perché l’idea di gestire tante password differenti e oltretutto complicate fa venire il mal di testa.

Ricordarsele a memoria è impossibile; segnarsele su un quadernino funziona, tranne quando il quadernino rimane a casa o in ufficio o comunque fuori portata; scriverle in un file da tenere su una chiavetta USB è tedioso e significa dover aprire ogni volta il file e copiaincollare la password.

Per risolvere tutti questi problemi ci sono i password manager: applicazioni il cui compito è memorizzare e digitare per noi le nostre password. Alcune delle più diffuse sono 1Password, Dashlane, LastPass e KeePass. Chi le usa ha bisogno di ricordarsi soltanto una password: quella che dà accesso alla cassaforte virtuale nella quale il password manager custodisce tutte le sue password.

Come segnala Sophos, è importante smontare uno dei miti che circondano i password manager, ossia l’idea che per iniziare a usarli sia necessario immettere a mano una per una tutte le proprie password. Non è così: praticamente tutti questi gestori di password sono in grado di accorgersi automaticamente se l’utente sta digitando una password durante l’accesso a un sito e si offrono di memorizzarla automaticamente. Se cambiate una password, inoltre, il gestore aggiornerà automaticamente il proprio archivio di password.

Un’altra incombenza che i password manager possono evitare all’utente è la generazione di password difficili da indovinare. Ci pensa l’applicazione a generarle. Dato che è l’applicazione a doversele ricordare e a preoccuparsi di digitarle, e non l’utente, queste password generate possono essere complicatissime (tipo Vp$lskFOyS4h^oqI o simile).

Ultimo dubbio ricorrente: ci si può fidare a depositare una copia dell’archivio di password nel cloud? Un gestore di password diventa un punto unico di vulnerabilità: se qualche malintenzionato riesce ad accedere al sito del produttore, c’è il rischio che abbia accesso a tutte le password di tutti gli utenti. Per prevenire questo rischio, i produttori usano una crittografia molto potente, ma se siete particolarmente preoccupati potete disattivare questa funzione e portare invece con voi una chiavetta contenente una copia dell’archivio di password, naturalmente protetta a sua volta da una buona password.

Badoo, allerta per possibile violazione in massa degli account

2016-07-08
di Paolo Attivissimo
furto d'identità, furto di password, ReteTreRSI

Ci sono furti di password che bruciano più di altri: trovarsi con un account Instagram violato per molti non è un problema, perché basta farne uno nuovo e avvisare gli amici. Ma se l’account rubato è su Badoo, frequentatissimo sito d’incontri, la cosa scoccia parecchio, perché spesso questi account vengono usati per conversazioni molto intime (e non solo conversazioni) e per infedeltà reali o virtuali. Scoprire che il proprio account su Badoo è stato violato e che qualcun altro ne ha la password potrebbe causare imbarazzi più che notevoli.

L’informatico Troy Hunt, collaboratore esterno di Microsoft, segnala che sono in circolazione nei bassifondi di Internet i dati di circa 112 milioni di account Badoo, e offre un servizio gratuito, HaveIBeenPwned.com (traducibile con “mi hanno fregato” – la P non è un refuso), nel quale si può immettere un indirizzo di mail (proprio o altrui) per sapere se compare negli elenchi di account violati, di cui Hunt fa collezione.

Hunt sottolinea che questo recente elenco di account Badoo non è verificato, nel senso che i responsabili di Badoo non hanno segnalato alcuna violazione del sito e quindi è possibile che si tratti semplicemente di un elenco di utenti che hanno usato su Badoo la stessa password usata anche su un altro sito che è stato violato oppure di utenti che si sono fatti infettare da malware che colleziona password. Casi come questo sono frequenti: è successo di recente per 272 milioni di account Hotmail, Yahoo, Gmail e Mail.ru e per 32 milioni di account Twitter.

Anche se il furto di account Badoo non è verificato, se avete un account presso questo fornitore di servizi è buona cosa cambiarne la password e magari iscriversi gratuitamente al servizio di allerta di HaveIBeenPwned, affidandogli i propri indirizzi di mail in modo da ricevere un avviso se compaiono in qualche archivio di account rubati. E magari abbandonare, una volta per tutte, la pessima abitudine di usare ovunque la stessa password.

In vendita 32 milioni di password rubate di utenti Twitter? Esperti dubbiosi

2016-06-10
di Paolo Attivissimo
autenticazione, furto di password, ReteTreRSI, sicurezza informatica, Twitter

Alcuni siti (per esempio Repubblica) hanno annunciato con toni di certezza la messa in vendita nei bassifondi di Internet di un elenco di oltre 32 milioni di password di Twitter, causando un certo panico fra gli utenti di questa piattaforma di microblogging, ma gli esperti hanno molti dubbi sulla qualità dell’offerta illecita, il cui prezzo è molto basso per gli standard del settore: circa 5000 dollari.

La fonte originale della notizia è Leakedsource.com, un sito che si offre come servizio di verifica di furto di password: si immette il nome utente del proprio account e si viene avvisati se la password dell’account è presente nelle varie collezioni di password rubate circolanti in Rete. LeakedSource dice di aver verificato soltanto 15 password presenti nell’elenco di quelle rubate di Twitter, ma tutte e quindici sono risultate autentiche.

Tuttavia è improbabile, a detta degli esperti, che l’elenco contenga davvero 32 milioni di password attualmente valide, perché Twitter protegge le password degli utenti conservandole soltanto in forma pesantemente cifrata (hash con bcrypt), che richiederebbe tempi e potenze di calcolo impraticabili per decifrarne 32 milioni in caso d’incursione nei server di Twitter. L’azienda ha comunque inviato un invito di cambio password ad alcuni milioni di utenti dopo aver rilevato che le loro password erano in circolazione.

Lo scenario più probabile è che non sia stato violato Twitter ma che siano stati violati gli utenti, per esempio perché hanno computer infetti. In ogni caso, se avete un account Twitter, è opportuno fare due cose:

– non fidarsi di inviti a cliccare su un link per aggiornare la vostra password. I ladri di password approfittano spessissimo di notizie come questa per mandare messaggi falsi che sembrano provenire dal gestore del servizio (in questo caso Twitter, appunto) ma in realtà portano a siti-clone, identici a quelli del servizio ma in realtà gestiti dai truffatori. Se volete aggiornare la password di un servizio, accedete al sito del servizio manualmente, scrivendone il nome.

– attivare la verifica in due passaggi, che vi salva in caso di furto di password: attivando questa verifica, infatti, la password funziona soltanto se viene immessa usando uno dei vostri dispositivi. Se un ladro vi ruba la password e la immette in uno dei suoi, gli viene negato l’accesso e ricevete un’allerta via SMS o in altro modo.

Su Twitter la verifica in due passaggi si attiva andando a https://twitter.com/settings/security e attivando la voce Verifica d’accesso. Già che ci siete, attivate anche le opzioni Richiedi informazioni personali per reimpostare la password e Richiedi sempre la password per accedere al mio account.