Furto password: un business sempre più fiorente. Dopo LinkedIn, sotto scacco anche Last.fm

di Alessandra Talarico |

In Italia, pare che il lavoro degli hacker sia molto più facile: lo rivela uno studio condotto da Joseph Bonneau dell'Università di Cambridge su circa 70 milioni di password del servizio mail di Yahoo!

Mondo


eSecurity

Mentre LinkedIn è al lavoro con la polizia per comprendere modalità e portata del furto di circa 6,5 milioni di password degli utenti del sito (Leggi articolo key4biz), decodificate e pubblicate sul web, il sito Last.fm, con un post sul suo blog, informa di stare indagando su un incidente simile.

La radio online, che permette agli utenti di creare un proprio profilo, ha invitato gli iscritti a modificare al più presto le password come misura precauzionale e a sceglierne una diversa da quella utilizzata per altri servizi.

Il sito invierà ai suoi membri un’email con un link diretto per aggiornare le impostazioni.

“Ci scusiamo per l’inconveniente. Last.fm prende la privacy molto sul serio”, informa il team, sottolineando che saranno pubblicati nuovi aggiornamenti sui forum del sito o via l’account Twitter.

 

Quello del furto di password è uno dei business più remunerativi per i criminali informatici, con danni che si attestano ogni anno a miliardi di dollari. Colpa spesso, della poca cautela usata dagli utenti, che usano preferibilmente una sola password per i diversi servizi, siano essi social network o servizi bancari.

 

Un problema globale ma in Italia, pare che il lavoro degli hacker sia molto più facile: lo rivela uno studio condotto da Joseph Bonneau dell’Università di Cambridge su circa 70 milioni di password del servizio mail di Yahoo!, ‘schermate’ con la tecnica di cifratura chiamata hashing. Secondo Bonneau, le chiavi di accesso in lingua indonesiana e italiana sono quelle più facili da profanare, con una percentuale di violazione, rispettivamente, del 14,9% e 14,6% ogni mille tentativi. Molto più difficile, ad esempio, scardinare le password in lingua cinese o coreana.

 

“Cambiare frequentemente le password è una delle attenzioni da avere per tutelarsi dalle truffe. Per incrementare il livello di sicurezza è però meglio utilizzare password diverse per ogni tipo di accesso. Se, infatti, un malintenzionato entrasse in possesso della nostra unica password avrebbe accesso anche a tutti gli account internet. Si rischierebbe, quindi, di subire non solo un danno patrimoniale ma anche il furto di identità, un tipo di frode che si sta espandendo anche in Italia”, spiega Walter Bruschi, amministratore delegato di CPP Italia, filiale della multinazionale inglese specializzata nella tutela della sicurezza dei dati personali.

 

Sull’incidente occorso a LinkedIn, è intervenuto Gary Clark EMEA VP di SafeNet – uno tra i principali provider di soluzioni per la protezione dati e per la gestione dei diritti software: “La violazione che ha subito LinkedIn è sconcertante e il rischio maggiore sussiste in modo particolare per gli utenti che utilizzano la stessa password su altri servizi online come l’online banking”.

Secondo l’esperto, “LinkedIn ha cercato di prendere le giuste precauzioni per proteggere le password degli utenti, ma l’uso di hash non crittografici è motivo di preoccupazione poiché questi dati sono maggiormente sensibili agli attacchi degli hacker più determinati”.

Il suggerimento di Clark alle aziende è quello di affidarsi alle più recenti tecnologie di crittografia e applicarle in modo coerente per proteggere sia i dati sensibili come le transazioni finanziarie, sia le password e altri identificatori.

“Attraverso l’utilizzo della crittografia e l’archiviazione delle chiavi digitali al di fuori dell’ambiente virtuale, le organizzazioni saranno in grado di evitare che i dati di login degli utenti possano essere compromessi anche nel caso in cui questi cadano nelle mani dei cybercriminali. Un consiglio che gli utenti LinkedIn devono prendere in considerazione è di modificare le proprie password ed evitare di usare la stessa per più account”, ha concluso.