Video: Hanno hackerato la mia mail o il mio profilo social. Cosa posso fare? (Settembre 2024)
Recentemente, i cyber-aggressori hanno violato i sistemi di LivingSocial e hanno avuto accesso illegalmente alle informazioni sui clienti per oltre 50 milioni di utenti. Gli utenti devono cambiare immediatamente la password.
Come riportato ieri da PCMag.com, LivingSocial ha inviato e-mail di notifica di violazione dei dati a tutti i clienti interessati informandoli di un attacco informatico che ha provocato l'accesso non autorizzato ai dati dei clienti. Oltre 50 milioni di account sono stati potenzialmente colpiti, secondo LivingSocial, rendendo questa una delle più grandi violazioni della password quest'anno.
Al momento non è chiaro come sia avvenuta la violazione e quali altre informazioni siano state rubate. In questo tipo di incidenti, in genere gli aggressori irrompono installando segretamente malware sui dispositivi dei dipendenti e quindi aggirando la rete fino a quando non trovano sistemi sensibili, ha detto a SecurityWatch George Tubin, stratega senior della sicurezza presso Trusteer.
I fornitori "dovrebbero aspettarsi che gli hacker prendano di mira i loro sistemi per ottenere dati sui clienti o informazioni aziendali sensibili", ha detto Tubin. A questo punto, "è ovvio che questi fornitori semplicemente non stanno facendo abbastanza per proteggere le informazioni dei loro clienti", ha detto Tubin.
Password salate e tratteggiate non a prova di crack
È un buon segno che LivingSocial ha eseguito l'hashing e ha salato le sue password poiché ciò rallenterebbe un po 'gli aggressori, ma "non fermerà" gli aggressori dal tentativo e dal riuscire, nel capire le password originali, Ross Barrett, senior manager della sicurezza ingegneria presso Rapid7, ha dichiarato a SecurityWatch . Mentre la salatura rallenta il processo di cracking, "alla fine gli aggressori o la loro rete otterranno le informazioni che stanno cercando", ha detto Barrett.
L'hash è una crittografia unidirezionale, in cui ottieni sempre lo stesso output per un determinato input, ma non è possibile iniziare con un hash e capire quale fosse la stringa originale. Gli aggressori fanno spesso affidamento su tabelle arcobaleno, una serie di dizionari immensi che contengono ogni stringa immaginabile (incluse parole del dizionario, cognomi comuni, persino testi delle canzoni) e i relativi valori di hash. Gli aggressori possono abbinare l'hash dalla tabella delle password con la tabella arcobaleno per trovare la stringa originale che ha generato il codice.
Salare si riferisce al processo di aggiunta di informazioni aggiuntive alla stringa di input originale prima di creare un hash. Dato che l'attaccante non sa quali siano i bit di dati extra, rompere gli hash diventa più difficile.
Il problema, tuttavia, è che LivingSocial ha usato SHA1 per generare l'hash, un algoritmo debole. Come MD5, un altro algoritmo popolare, SHA1 è stato progettato per funzionare rapidamente e con una quantità minima di risorse di elaborazione.
Considerando i recenti progressi nelle tecnologie hardware e di hacking, gli hash SHA1, anche salati, non sono a prova di crack. LivingSocial sarebbe stato meglio con bcrypt, scrypt o PBKDF-2.
Cambia quelle password ora
LivingSocial ha reimpostato preventivamente le password per tutti gli utenti e gli utenti dovrebbero assicurarsi di scegliere nuove password che non vengono utilizzate altrove. Molte persone tendono a riutilizzare la stessa password tra i siti; se gli utenti hanno utilizzato la password LivingSocial su altri siti, dovrebbero cambiare immediatamente anche quelle password. Una volta che le password sono state violate, gli aggressori possono provare le password contro servizi popolari come e-mail, Facebook e LinkedIn.
"Queste violazioni sono un altro promemoria del motivo per cui è così importante mantenere una buona igiene delle password e utilizzare password diverse per tutti gli account e i siti", ha affermato Barrett.
Gli aggressori possono utilizzare anche date di nascita e nomi per creare campagne di phishing e altre attività di ingegneria sociale. Possono fare riferimento a questi dettagli per indurre gli utenti a pensare che si tratti di messaggi legittimi. I dati rubati saranno "alimentare gli attacchi per molto tempo", ha detto Barrett.
La violazione di LivingSocial è "un altro promemoria che le organizzazioni continueranno a essere prese di mira per i loro preziosi dati dei clienti", ha affermato Barrett.
