furto di password – Pagina 4

Katy Perry, account Twitter violato: lezione per tutti

2016-06-03
di Paolo Attivissimo
autenticazione, furto di password, ReteTreRSI, Twitter

Pochi giorni fa l’account Twitter di Katy Perry, che ha quasi 90 milioni di seguaci ed il più seguito al mondo è stato violato, pubblicando messaggi offensivi e un link a quella che parrebbe essere una canzone inedita della cantante. I gestori di Twitter sono intervenuti rapidamente e hanno ripreso il controllo dell’account. È stata una brutta figura (ma anche pubblicità gratuita) per Katy Perry, ma poteva andare molto peggio.

L’intruso, infatti, avrebbe potuto pubblicare link a siti-trappola per rubare password oppure per infettare i dispositivi degli utenti. Questi link sarebbero arrivati a 90 milioni di utenti, offrendo quindi un canale diretto a un bersaglio vastissimo per mettere a segno attacchi, spamming e truffe di ogni genere. Chi ha un account molto popolare, su qualsiasi social network e non solo su Twitter, deve quindi mettere in preventivo che verrà attaccato e ha una responsabilità molto importante nel proteggere i propri utenti.

Per gestire bene questa responsabilità è indispensabile usare almeno la sicurezza di base fornita dal social network. Nel caso di Twitter, attivate l’opzione Verifica le richieste d’accesso.

Attacco di massa contro gli utenti di Teamviewer e l’azienda stessa

2016-06-03
di Paolo Attivissimo
autenticazione, furto di password, ReteTreRSI, sicurezza informatica, Teamviewer, VPN

Se usate TeamViewer, la popolarissima applicazione per il controllo remoto e la manutenzione dei computer, fate attenzione: l’azienda è stata attaccata e anche molti utenti hanno subìto incursioni che hanno sottratto password e soldi.

Secondo The Register, utenti Windows e Mac si sono visti togliere il controllo remoto dei computer usando Teamviewer. Alcuni attacchi hanno avuto successo nonostante l’uso di password ben costruite e dell’autenticazione a due fattori.

Le prime indagini indicano che gli aggressori hanno preso di mira gli account Web degli utenti di TeamViewer e li hanno usati per collegarsi ai computer di questi utenti, prendendo il controllo dei browser per vuotare conti PayPal, accedere alla mail e fare acquisti su Amazon e eBay. Molte segnalazioni sono su Reddit. Ci sono casi di furto di alcune migliaia di dollari trasformati in buoni acquisto e quindi difficili da tracciare e recuperare; altri utenti denunciano di aver perso il controllo dei server che gestivano remotamente. Considerato che TeamViewer è usatissimo anche per comandare impianti a distanza, il pericolo non è banale.

Come se non bastasse, ieri il sito di TeamViewer è diventato inaccessibile per circa tre ore, per cui gli utenti non erano in grado di connettersi da remoto ai propri computer. L’azienda dice che la sua sicurezza non è stata violata e che invece la colpa è degli utenti che hanno “usato con trascuratezza” le password, per esempio usando su TeamViewer delle password che usavano anche altrove, per esempio su siti violati come LinkedIn e Tumblr. TeamViewer ha dichiarato di essere stata attaccata da un denial of service sui propri server DNS, ma insiste che la sua sicurezza non è stata violata.

Se usate Teamviewer, verificate di usare password non ovvie e non usate altrove. Se possibile, attivate l’autenticazione a due fattori e le altre restrizioni di sicurezza sulle connessioni.

250 milioni di account di posta violati? Niente panico

La notizia del furto delle credenziali di oltre 250 milioni di account diffusa da Reuters ha creato un notevole panico, ma secondo Sophos non è il caso di preoccuparsi: la stragrande maggioranza degli account è di Mail.ru, quindi riguarda principalmente utenti russi, mentre la percentuale di account Google, Microsoft e Yahoo è molto piccola.

L’altro motivo per il quale è altamente probabile che queste credenziali siano poco attendibili è il prezzo al quale sono messi in vendita: meno di un dollaro.

Niente panico, quindi: conviene invece investire un momento di tempo per verificare se per caso il proprio indirizzo di mail è incluso in uno dei tanti archivi di account violati. Per farlo c’è un sito apposito, HaveIBeenPwned.com, che raduna tutti i principali archivi. Da evitare tassativamente, invece, tutti i vari siti che invitano a digitare in essi la propria password per sapere se è robusta: il rischio che siano siti rubapassword è troppo alto.

Panico per LinkedIn, oltre 100 milioni di password rubate. Dal 2012

Brutta, bruttissima figura per LinkedIn. Sul mercato nero sono in vendita gli indirizzi di mail e le password di 117 milioni (c’è chi dice 164 milioni) di suoi utenti, che sono stati rubati all’azienda. Il guaio è che il furto risale a quattro anni fa ma viene annunciato in dettaglio soltanto adesso: prima si pensava che il danno fosse circoscritto (si fa per dire) a circa 6,5 milioni di persone.

Ciliegina sulla torta, sono coinvolto personalmente: fra gli indirizzi di mail violati ce n’è uno dei miei, secondo HaveIBeenPwned, noto sito che avvisa gli utenti iscritti quando uno dei loro account è oggetto di furto di credenziali.

L’incidente di LinkedIn è un promemoria perfetto della ragione per la quale è sbagliatissimo usare la stessa password dappertutto “perché tanto la mia non la indovinerà mai nessuno”: oggigiorno non è più questione di indovinare, perché i ladri si riforniscono direttamente e in massa alla fonte, costituita dai fornitori di servizi su Internet. Di conseguenza, non ha importanza quanto siano forti le mie misure di sicurezza: quelle che contano sono quelle del fornitore di servizi. Che in questo caso erano decisamente scadenti.

Se usate la stessa password dappertutto e viene violato l’archivio di password di uno dei vostri fornitori di servizi, i criminali avranno gioco facile nel prendere il controllo di tutti i vostri account. Se prendono quello della mail, possono leggere tutta la vostra corrispondenza e soprattutto farsi mandare i link di reset delle password di tutti i vostri servizi online.

Se avete un account su LinkedIn, vi conviene cambiarne la password, rendendola diversa dalle altre che usate; se avete usato la password di LinkedIn anche per altri siti, cambiate anche le password di questi siti. E per ridurre il rischio che capiti di nuovo, attivate la verifica in due passaggi (o autenticazione a due fattori): accedete al vostro profilo, cliccate sulla vostra icona del profilo e scegliete Privacy e impostazioni. Ricordatevi di attivare l’opzione Vuoi uscire da tutte le sessioni?, perché c’è una vulnerabilità di LinkedIn non risolta che consente il furto di password se avete altre sessioni aperte (per esempio sul telefonino), e aggiungete un numero di telefonino per consentire la verifica in due passaggi: in questo modo per rubarvi l’account dovranno avere anche il vostro telefonino.

Mail su finti rimborsi Telecom/Tim tentano di rubare le carte di credito

2016-04-09
di Paolo Attivissimo
carte di credito, crimine online, furto di dati, furto di password, phishing, truffe

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni di “luigipoll*” e “carlo.fr*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Su molte delle mie caselle di mail è arrivato questo messaggio, apparentemente proveniente da servizio.clienti@telecomitalia.it, che m’invita ad accedere al servizio per ottenere un rimborso di 110 euro. Il messaggio è una trappola: non seguite le sue istruzioni.

È un classico tentativo di furto dei codici delle carte di credito: lo segnalo perché è fatto meglio della media (poche sgrammaticature, loghi credibili, mittente apparente molto credibile) e perché ha superato ripetutamente i miei filtri antispam, cosa piuttosto insolita.

Il pulsante Accedi al servizio porta a questa schermata, che in realtà è ospitata presso it-10.com e non presso Tim.it:

Ovviamente lo scopo è quello di convincere l’utente a immettere password di Tim.it e dati della carta di credito, che finiranno così nelle mani dei criminali. Ho pensato di fornire un po’ di quelli di un mio caro collega, il noto giurista immaginario Massimo Della Pena. Anche qui la schermata di Tim.it è imitata piuttosto bene: c’è anche il controllo sulla coerenza del codice fiscale. L’unica nota stonata è quel Dati di client, che però può anche sfuggire per l’emozione di ricevere un (inesistente) rimborso. Ho già segnalato il caso a Netcraft e a Google.

Mi raccomando, occhio a non farvi allettare da chi vi promette qualcosa di goloso: non fidatevi dell’indirizzo del mittente (come vedete qui sopra, si può falsificare), controllate sempre che nella barra dell’indirizzo ci sia il nome corretto del sito insieme all’icona del lucchetto chiuso che autentica il sito. Se ricevete questa mail, cestinatela: se non avete immesso dati, non correte alcun rischio.

Aggiornate il vostro iOS per non farvi rubare gli account tramite Wi-Fi

2016-01-22
di Paolo Attivissimo
Apple, cookie, furto di password, iOS, ReteTreRSI

Pochi giorni fa è uscito un aggiornamento per iOS che chiude una falla particolarmente grave, che consente a un accesso Wi-Fi di prendere il controllo degli account delle vittime. Come se non bastasse, la falla esiste da anni: è stata segnalata ad Apple dagli esperti di sicurezza di Skycure a giugno del 2013 ed è stata risolta soltanto ora.

La falla sta nel modo in cui iOS gestisce i cosiddetti captive portal, ossia quelle finestre che compaiono automaticamente sullo schermo quando un utente di iPhone, iPad o iPod touch si collega a un Wi-Fi pubblico. Queste finestre consentono di navigare nelle pagine Web locali (per esempio quelle dell’albergo o aeroporto in cui si trova l’utente) o di dare le proprie credenziali per connettersi a Internet.

Fino all’aggiornamento alla versione 9.2.1 di iOS appena uscito, questa finestra veniva gestita in modo promiscuo: aveva accesso ai cookie di Safari, col risultato che l’aggressore che creava un accesso Wi-Fi ostile poteva rubare questi cookie e usarli per spacciarsi per l’utente per esempio in un social network, prendendo temporaneamente il controllo dei suoi account. Il fatto che la finestra del captive portal si apre automaticamente facilita notevolmente il lavoro del truffatore.

Dalla versione 9.2.1 in poi questa falla non è più sfruttabile perché i cookie non vengono più condivisi. Aggiornarsi, insomma, non è un optional. Complimenti a Skycure, fra l’altro, per aver saputo mantenere il segreto per più di due anni in attesa che Apple sistemasse il problema.

Spogliarello maschile di gruppo sulla Stazione Spaziale annunciato via Twitter?

2015-09-05
di Paolo Attivissimo
astronautichicche, furto di password, ISS, spazio, Twitter

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni di “roberto.mel*” e “squonk*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2015-09-05 19:30.

Poche ore fa è comparso su Twitter questo strano annuncio dell’utente @AidynAimbetov:“Se volete vedere della gente nuda nello spazio per favore iscrivetevi a me e ritwittate prima del 12 settembre 2015. Servono 100K iscritti. #ISSNudeCrew”. Il tweet è stato cancellato poco dopo.

Aidyn Aimbetov è il nome di uno degli astronauti a bordo della Stazione Spaziale Internazionale. A prima vista sembrerebbe logico presumere che si tratti di un account falso, ma è seguito da ESA Space History e da Space Shuttle Almanac, due fonti solitamente attendibili nel settore astronautico.

Qualcuno ne sa di più? Ho già contattato le mie fonti astronautiche solite e segnalato la faccenda a @ESAoperations e @ShuttleCDRKelly, ma per ora non ho avuto risposte.

19:30. Secondo i tweet più recenti dell’account @AidynAimbetov, l’account sarebbe autentico e sarebbe stato violato temporaneamente grazie a password facilmente indovinabili (data di nascita e iniziali). Se confermato, che io sappia è il primo caso di furto di un account di un astronauta in assoluto e in particolare mentre l’astronauta è nello spazio.

Password patetiche nei siti di Polizia e Giustizia italiani: sberleffo alle leggi sulla privacy

2015-07-28
di Paolo Attivissimo
attacchi informatici, defacement, furto di password, privacy, teatrino della sicurezza

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2015/07/28 20:35.

È stata rivendicata via Twitter alcuni giorni fa una violazione di vari siti collegati alla Polizia e alla Giustizia italiana (immagine qui accanto), accompagnata dalla pubblicazione di database contenenti dati sensibili provenienti dai siti violati: nomi, indirizzi e numeri di telefono di persone delle forze dell’ordine o legate al settore.

Lasciamo stare le ragioni dell’intrusione: già è imbarazzante che abbia avuto successo, ma la vera vergogna è quello che ha messo in luce, ossia la gestione pateticamente inetta della sicurezza.

Come segnala Luigi Rosa su Siamogeek,

Le password sono tutte in chiaro oppure codificate in MD5 senza salt. In un paio di database nel campo password c’è l’hash MD5, uno spazio e poi la password in chiaro tra parentesi. In più di un esempio la tabella degli amministratori ha le password in chiaro e quella degli utenti ha le password in MD5. Molte password in MD5 sono uguali al nome dell’utente oppure banali (ovvero se vengono trascritte in un motore di ricerca appare la pagina con l’equivalente in chiaro).

E le password usate sono da mettersi le mani nei capelli:

numeri nel formato ggmmaaaa, nomi di città, nomi di persone e parole come passamontagna, meccaemedina, 69cazzo69, Password, 123, polizia, Soloio.

Sì, c’è persino l’immancabile uso di password come password. Luigi segnala anche che ci sono chiari segni di “tentativi di hackeraggio pregresso”. Complimenti.

Mi associo alle sante parole di Luigi:

Le leggi sulla tutela dei dati personali (dette anche “leggi sulla privacy”) dovrebbero, appunto, servire a tutelare i dati personali da questo tipo di intrusioni, non ad obbligare i cittadini e le aziende private a firmare e conservare tonnellate di carta inutile.

Tutti i dettagli sono nell’articolo completo su Siamogeek.

Correzione: avevo scritto inizialmente che la rivendicazione era stata pubblicata oggi, ma in realtà era stata pubblicata alcuni giorni fa e solo oggi l’ho ricevuta tramite un retweet. Ho corretto il testo.

Account Twitter della Rai promuove film porno

2015-03-15
di Paolo Attivissimo
EPIC FAIL, furto di password, sicurezza informatica, Twitter

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “anna_cine*”. Se vi piace, potete incoraggiarmi a scrivere ancora.

L’account Twitter autenticato @SanremoRai ha al momento come ultimo tweet un invito a visitare un sito di video porno.

Complimenti ai responsabili dell’account per questa svolta nel marketing e nella gestione della sicurezza informatica.

Ho segnalato pubblicamente il problemino su Twitter e avvisato @rainews un’oretta fa e non è ancora cambiato nulla: il pornotweet è ancora al suo posto, ricevuto da 92.000 utenti.

Ovviamente sconsiglio vivamente di visitare il sito reclamizzato senza abbondanti protezioni antimalware. Fra l’altro, uno dei video proposti dal sito reclamizzato dall’account della Rai riguarda Belen Rodriguez e se non erro risale a quando lei era minorenne, per cui scaricarlo o fornirlo può implicare il reato di pedopornografia.

Ringrazio @corsicotrota per la segnalazione.

Aggiornamento (12:55): il tweet pro-porno è stato rimosso e al suo posto è comparso alle 10:53 questo messaggio di scuse:

SanremoRai
Come già evidente a molti, stamattina qualcuno si è intromesso nel nostro account. Ci scusiamo per l’accaduto
05.03.15 10:53

Aggiornamento (2015/03/11): il 5 marzo scorso Giornalettismo ha raccolto i migliori commenti sulla vicenda.

LinkedIn risarcisce per le password rubate: un dollaro a testa

Una delle raccomandazioni più frequenti e più largamente ignorate di tutta la sicurezza informatica è non usare la stessa password in più di un sito e non fidarsi della capacità dei social network di custodire le password degli utenti, perché se sbagliano qualcosa la faranno franca. La dimostrazione perfetta di questa regola è arrivata di recente a proposito di LinkedIn.

Nel 2012 LinkedIn fu colpita dal furto di 6,5 milioni di password a causa di un suo errore madornale: le custodiva senza fare salting (ossia cifrandole senza aggiungervi una sequenza casuale di bit per rendere difficile decifrarle in caso di furto). Circa 800.000 utenti americani dei servizi premium di LinkedIn hanno avviato una class action che è arrivata adesso a un accordo: un risarcimento di 1,25 milioni di dollari. In pratica, tolte le parcelle degli avvocati, per ciascun utente colpito spetta grosso modo un dollaro, magari qualcosina di più se il numero delle richieste di risarcimento è minore del numero dei partecipanti alla class action.

In altre parole, se un social network commette un errore grave nel custodire la password che protegge il vostro account e vi causa perdite di lavoro, di amicizie o di reputazione, affari vostri, e non importa se dice che “prende molto sul serio la privacy e la sicurezza dei suoi membri”. Tenetelo presente prima di affidare i vostri dati e le vostre comunicazioni a questi servizi.