attacco
Nel corso dello scorso fine settimana, Living Social, piattaforma web di coupon, ha subito un attacco informatico, attraverso il quale sono stati rubati nomi, indirizzi e-mail, date di nascita e password criptate di un numero imprecisato di utenti.
La buona notizia è che, secondo Living Social, le password erano state salvate in un formato crittografato (mediante hash e salt) grazie al quale, anche una volta rubate, sono quasi impossibili da decifrare. L’azienda afferma inoltre che gli hacker non hanno violato un database separato dove erano immagazzinate i numeri delle carte di credito e altri dati bancari degli utenti.
Le password crittografate mediante hash (vedi sotto per la spiegazione) sono difficili, se non impossibili, da rompere. Se hai un account su Living Social, ti consigliamo di cambiare immediatamente la tua password. E, cosa ancora più importante, se usi la stessa password per uno o più account, cambia immediatamente anche le altre.
Pare che siamo arrivati al punto che per sensibilizzare la gente verso il problema della violazione di dati è necessario che venga compromesso un database di password o un server. Consumatori, aziende che dovrebbero proteggere i dati degli utenti e persino alcuni esperti IT sono diventati insensibili a questo genere di violazioni – e non dovrebbe essere così. Nessuno si preoccupa della violazioni di dati, fino a che non ne è vittima e le aziende dovrebbero fare particolarmente attenzione a questi tipo di minacce.
Detto questo, tutti hanno sentito parlare del phishing. Infatti, è comune sentir parlare di phishing o di ingegneria sociale, tanto quanto lo è leggere una notizia su di una violazione di dati. Per mettere a punto un attacco di ingegneria sociale, in genere, un hacker deve essere in possesso di certe informazioni sul suo target. Ma dove credete che gli hacker specializzati in ingegneria sociale trovano gli indirizzi e-mail e i dati necessari per i loro attacchi phishing? Perché questi hacker sono così bravi nell’indovinare e resettare password?
Un sacco di informazioni di questo tipo vengono raccolte durante violazioni di dati o grazie a utenti poco attenti che pubblicano i propri dati sui social network (ma questo è un argomento per un altro articoli). Molto spesso gli utenti danno i loro indirizzi mail aziendali ai servizi online e quando questi servizi vengono compromessi, gli hacker entrano in possesso di quegli indirizzi e li usano per mette a punto attacchi phishing contro importanti aziende. Anche le date di nascita sono dati preziosi perché gli utenti molto spesso le usano nelle loro password o come parte della domanda che serve per resettare la password. Le hash delle password possono causare seri problemi agli utenti che insistono nel diffondere le password.
Living Social offre un’interessante sezione di FAQ in inglese che contiene una spiegazione sulla definizione di hash e salt.
Le password di Living Social vengono crittografate mediante la funzione crittografica di hash con SHA1, usando un sale, una sequenza casuale di 40 bit. Questo significa che i sistemi di Living Social prendono le password inserite dagli utenti e usano un algoritmo per trasformarle in una stringa, come se fosse un’impronta digitale: questo è quello che si chiama ‘hash’. Per aggiungere un livello di protezione, si usa un ‘sale’ che allunga e complica la password. Living Social è passata dall’algoritmo SHA1 a Bcrypt.
Consigli