XQuesto sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all’uso dei cookie. Accetto

Il blog ufficiale Darnet

Milioni di account Linkedin compromessi. Di nuovo.

Vecchi furti, nuovi problemi.
La notizia la possiamo riassumere in poche righe: un hacker che si fa chiamare "Peace" sta vendendo l'archivio di credenziali LinkedIn frutto di una violazione di sicurezza avvenuta a  giugno 2012. Questi i numeri in causa:

- 167 milioni di dati utente rubati
- 117 milioni di credenziali (username + password)
- 5 bitcoin (1.970 € circa) il prezzo di vendita di questi dati online

La posizione ufficiale di LinkedIn è che non si tratta di una nuova incursione, ma proprio dei dati rubati quattro anni fa: al tempo i loro tecnici erano certi che gli account compromessi fossero solo 6,5 milioni. LinkedIn ha confermato il 18 maggio scorso che le credenziali in vendita sono reali e non fittizie.

Per tutti questi quattro anni il database è rimasto in possesso di un gruppo di hacker russi.

Le password in database erano codificate con l'algoritmo SHA-1 senza "salt", che tradotto in poche parole significa con una modalità di cifratura facilmente aggirabile.

Gli operatori di LeakedSource affermano di aver decifrato il 90% delle password in 72 ore. Riordinando le password così trovate per frequenza, troviamo che le più usate sono le seguenti:

Classifica Password Frequenza
1 123456 753,305
2 linkedin 172,523
3 password 144,458
4 123456789 94,314
5 12345678 63,769

Alcune considerazioni

La prima cosa che ci colpisce è il fatto che solo oggi si scopre (forse) la vera natura di un evento accaduto quattro anni fa. Una storia che sembrava conclusa invece ha ancora ripercussioni attualissime.

Ci fa riflettere la posizione assunta da LinkedIn, a nostro avviso piuttosto discutibile. Prima ha coperto e/o sotto stimato il problema, con la convinzione (vera o presunta) che i dati trafugati fossero relativi a pochi utenti. Ma 6,5 milioni di utenti sono davvero così pochi?
Si stima che al tempo dell'incidente, LinkedIn contasse 174 milioni di utenti, mentre oggi ne conti circa 433 milioni (dato del primo quadrimestre 2016 diffuso dalla stessa azienda).
In breve, LinkedIn pensava fossero compromessi il 3,74% circa degli utenti presenti quando invece si trattava del  67,24%, indicativamente il 38% degli utenti attualmente presenti. Cifre tutt'altro che piccole, viste nel loro complesso.

Il fattore tempo non va sottovalutato, considerando che per tutto questo arco temporale i dati sono rimasti in mano ad un gruppo di hacker e presumibilmente sfruttati per attività non lecite.
"Ma cosa se ne faranno gli hacker dell'account LinkedIn di un utente?" vi chiederete.
Pensate a tutte le informazioni derivate che si possono reperire. Tutti i messaggi privati, ad esempio, con informazioni relative a clienti o partner. Si possono ottenere i vari indirizzi email ed il numero di telefono cellulare dalle impostazioni del profilo. E questo è solo l'inizio.
Conoscendo la password LinkedIn, ci sono buone possibilità che si possano ottenere accessi ad altri servizi on line,  perché:

- Posso usare la stessa password su altri account, se l'utente non ha molta fantasia e non ha password diverse per account diversi;
- Posso dedurre quali ragionamenti ha usato l'utente per creare la password, e dedurne altre (ingegneria sociale), restringendo fortemente il campo delle possibilità.

Ora questi dati sono estremamente svalutati dal punto di vista economico, al punto da essere venduti per pochissimo online: questo significa che sono stati già spremuti a sufficienza, e per quegli hacker russi non hanno quasi più valore.

Infine un pensiero sulla accortezza degli utenti; la classifica sopra indicata delle password parla da sola: credenziali banali e facilmente individuabili sono ancora di frequente utilizzo, anche se molto meno di un tempo.

Ci auguriamo che LinkedIn abbia fatto progressi nella codifica interna delle credenziali utente, usando metodi tecnicamente più sicuri di quelli attivi del 2012.

Tuttavia, questo evento, ci insegna quanto può essere deleterio il senso di falsa sicurezza: ipotizzare il caso peggiore e fare una corretta analisi dei rischi non è un esercizio di pessimismo, ma una buona prassi di individuazione delle minacce e della protezione del business online e degli utenti ad esso associati.

22 Maggio 2016

Darnet UK ltd
sede legale:
152 City Road
EC1V 2NX London (UK)

tel +44(0)20 36 08 64 50
mail: info@darnetltd.co.uk
twitter: @DarnetInfo

Company Number: 08497464

Darnet Servizi srls
sede legale:
via Vittorio Cadel 9
33100 Udine (UD)
sede operativa:
via Galileo Galilei 9
33010 Tavagnacco (UD)

tel +39(0)432 18 45 760
mail: info@darnet.it

CF/PI: 02816690305

Commento inviato

Il nostro staff valuterà il commento e lo renderà pubblico il prima possibile
© Made in Web Industry