68 milioni di password rubate: cosa dovete sapere

All’inizio della settimana, il mio collega Chris di Threatpost ha scritto un articolo su come Dropbox abbia obbligato gli utenti a reimpostare la propria password qualora questa non si cambiasse dal 2012. Al momento della pubblicazione del post, Dropbox ha spiegato che si trattava semplicemente di una “misura preventiva”.

Nel 2012, Dropbox è stata vittima di una violazione di sicurezza che ha portato alla diffusione di spam e ha dato un sacco di noie agli utenti del servizio. Quattro anni dopo, l’entità della violazione sta venendo alla luce dopo che è stata scoperta in rete una cache con le credenziali degli utenti di Dropbox. L’altra sera, la redazione di Motherbaord ha riferito che i database sul mercato erano veri e comprendevano oltre 68 milioni di account Dropbox.

Nell’articolo, Motherboard ha fatto notare che Dropbox non aveva riscontrato nessun accesso pericoloso agli account. Degli oltre 68 milioni di account, circa 32 milioni sono protetti con la funzione bcrypt; il resto sono stati crittografati con SHA-1.

Questo cosa vuol dire?

Stando a Motherboard, la perdita dei dati di Dropbox al momento non è nella lista dei maggiori mercati del dark web, forse perché quando le password sono protette in maniera adeguata, per i criminali il loro valore diminuisce. Considerando che la storia non è ancora finita, consiglio di tenere sotto controllo Threatpost; saranno sempre aggiornati qualora le cose dovessero cambiare.

Cosa dovreste fare?

Generalmente, questa violazione è solo un’altra da aggiungere alla lista sempre più lunga di perdite di dati dai megasite. Sono inclusi anche LinkedIn, MySpace, Tumblr, OKCupid e Spotify (x2). I criminali sanno quanto valgono le credenziali degli account, e siamo consapevoli del fatto che gli hacker attaccheranno; perciò, quello che dobbiamo fare in quanto cittadini del mondo digitale è essere un po’ più intelligenti e preoccuparci del modo in cui proteggiamo le nostre vite digitali. Così come abbiamo fatto per altre grandi violazioni di dati, vi dispensiamo cinque consigli fondamentali per la sicurezza in rete:

1. Utilizzate password complesse e cambiatele regolarmente. Siamo tutti d’accordo sul fatto che utilizzare la stessa password per quattro anni non sia una buona idea? Oltre a questo, la password dovrebbe essere facile da ricordare e complessa (per creare password complesse, provate il nostro strumento di verifica password).

Also, for tips on creating secure but memorable passwords, please see http://t.co/Q6qWwHUF9v #carphonewarehouse #Kaspersky #securepasswords

— David Emm (@emm_david) August 10, 2015

Inoltre, è buona norma cambiare regolarmente le vostre password sui siti importanti. Pensate al servizio di banking online, Facebook, LinkedIn e la vostra e-mail personale. Se il solo pensiero di creare, cambiare e ricordare tutte le vostre password vi scoraggia, iniziate a utilizzare uno strumento di gestione delle password come Kaspersky Password Manager.

2. Eliminate i vecchi account. Quando a maggio abbiamo parlato di Myspace, un commento molto comune nelle nostre conversazioni interne era: “Aspetta un attimo, la gente ancora usa Myspace?”. Beh, no, non molti lo fanno, ma esistono ancora molti account inattivi. La gente aveva aperto gli account gratuiti nei primi anni 2000 e se ne sono semplicemente dimenticati quando i nuovi Twitter e Facebook sono entrati in scena e hanno soppiantato il grande capo dei social network.

È buona norma sbarazzarsi degli account che non state più utilizzando. Questo perché se non state gestendo attivamente un account (e se non cambiate regolarmente la password) potete essere a rischio, specialmente se siete soliti riutilizzare le password.

3. A proposito: non riutilizzate le password. L’ho già detto un paio di volte, ma è una cosa importante. Non riutilizzate le password. Certo, questo vi rende le cose più facili ma pensate se la password che avete usato per la community di My Little Pony venisse rubata, permettendo ai truffatori di entrare nel vostro account bancario.

4. Attivate la verifica in due passaggi. Molti servizi online migliorano la sicurezza degli utenti offrendo la verifica in due passaggi. Utilizzano la verifica delle app o gli SMS per assicurarsi che la persona che cerca di entrare nell’account sia la persona autorizzata ad utilizzarlo. (Notate bene: Dropbox offre questa opzione.)

What is two-factor authentication and where should you enable it? http://t.co/WSvDc9oSvb #passwords #privacy #security

— Kaspersky Lab (@kaspersky) June 9, 2014

5. State attenti all’integrazione di terze parti. Molti servizi online, come Facebook e Dropbox, vi fanno connettere a servizi terzi per ottenere funzioni extra come condividere file o competere nei giochi con gli amici. L’integrazione spesso rende la vita più facile (e può voler dire che non c’è bisogno di ricordare ancora un’altra password). L’altra faccia della medaglia comporta l’accettazione di ulteriori punti deboli quando si tratta di sicurezza. Sicuramente l’app X vi fare risparmiare tempo quando state condividendo aggiornamenti in movimento, ma protegge sul serio le chiavi del vostro castello digitale?

Prima di connettere i servizi, pensateci due volte. È fondamentale utilizzare un solo login (o creare un altro account)? Sta ad ogni utente decidere, ma bisogna prendere seriamente in considerazione la domanda.

In conclusione, la violazione dei dati di Dropbox ci fa aprire gli occhi e rappresenta un importante esempio di come i criminali continuino a prendere di mira le identità digitali. Consigliamo fortemente a tutti di mettere in pratica i nostri consigli e di effettuare dei regolari controlli di sicurezza. Nelle nostre case disponiamo di sistemi di allarmi e di protezioni per la nostra vita sulla terra: dovremmo stare un po’ più attenti anche alle nostre vite digitali.