Social, l’anno nero: a rischio 330 milioni di pass su Twitter
DOPO IL CASO FACEBOOK
Alert: “Cambiate le password”. E fatelo ora. L’ultimo allarme arriva da Twitter, la piattaforma dei cinguettii brevi che nelle scorse ore ha allertato i suoi 330 milioni di utenti dell’esistenza di una falla nella sicurezza. A spiegarlo è stata la stessa azienda: “Quando scegliete una password per il vostro account Twitter, noi usiamo una tecnologia che la maschera in modo che nessuno all’interno della società possa vederla. Abbiamo di recente identificato un problema per il quale le password vengono mostrate per intero nei sistemi interni”. La società ha specificato di aver risolto il problema e che non ci sono indicazioni di furto o di cattivo uso. Però “con eccesso di cautela” ha chiesto agli utenti “di considerare di cambiare la password su tutti i servizi per cui l’avete usata”.
INSOMMA, ÈUFFICIALE: si è nell’annus horribilis per privacy e dati. Facebook, Cambridge Analytica, Yahoo, Uber, di nuovo Uber (un sunto dei vari casi è nel focus qui accanto). Ma anche nomi con minor risonanza mediatica. A settembre 2017, era toccato ad Equifax, importantissima società americana di controllo del credito: aveva fatto sapere di aver subìto, da maggio a luglio, un furto di dati con impatto potenziale su 143 milioni di cittadini. Nello stesso periodo, il Guardian aveva rivelato un attacco al colosso delle consulenze Deloitte, che aveva prontamente riferito di poter contare pochissimi clienti tra le “vittime”. Deboli anche alcuni cloud, i sistemi di archiviazione virtuali (per i meno tecnici, gli spazi online in cui conservare documenti invece di tenerli sul pc) tra cui quelli di Amazon: a ottobre del 2017, la multinazionale Accenture, che si occupa di consulenza, servizi tecnologici e outsourcing per aziende e pubbliche amministrazioni in tutto il mondo, è stata vittima di un data breach rilevato da UpGuard (che lo ha comunicato all’azienda dandole la possibilità di riparare): “Accenture - scrivevano nel rapporto - ha lasciato non protetti e pubblicamente scaricabili almeno quattro server di archiviazione basati su cloud, esponendo dati Api segreti, credenziali di autenticazione, certificati, chiavi di decrittografia, informazioni sui clienti”. La società aveva rassicurato: nessun rischio compromissione. Il rapporto sui data breach del 2017 realizzato dal Ponemon Institute e sponsorizzato anche dalla Ibm, se da un lato mostrava come il costo medio globale di una violazione dei dati fosse sceso del 10% rispetto agli anni precedenti (a 3,62 milioni di dollari) e che il costo medio per ogni record perso o rubato con informazioni sensibili e riservate fosse diminuito, passando da 158 dollari nel 2016 a 141, dall’altro rilevava che erano cresciute le dimensioni medie delle violazioni dell’1,8%, 24mila record ad attacco.
DI SICURO, se ne parla di più. “Con l’imminente applicazione del regolamento europeo sulla privacy - spiega Pierluigi Paganini, fondatore e direttore della sicurezza di CSE Cybsec - vengono alla luce tutte le violazioni. Il regolamento prevede sanzioni molto dure per chi le dovesse insabbiare”. Le aziende avranno 72 ore di tempo dalla scoperta per comunicarle alle autorità e agli interessati e sono previste sanzioni amministrative anche fino al 2% del fatturato. Sempre nei giorni scorsi, anche un fa- moso servizio di ‘ospitalità’ per progetti software, utilizzato soprattutto da sviluppatori informatici, ha comunicato ai suoi utenti di aver avuto un problema simile a quello di Twitter, l’esposizione di un “piccolo numero” di password. “Che sia l’e ff et to dell’imminente regolamento? - dice Paganini - Di sicuro è strano che un’azienda come Twitter non si sia accorta prima di star salvando le password in chiaro. C’è un problema sul monitoraggio”. Il regolamento europeo dovrebbe inoltre favorire, nei prossimi quattro anni, gli investimenti delle aziende nella sicurezza informatica. L’International Data Corporation (che svolge analisi di mercato) prevede che la spesa in sicurezza correlata crescerà del 19,5 % tra il 2017 e il 2021. L’anno prossimo, gli investimenti aziendali saranno intorno ai 3,7 miliardi di dollari.
INTANTO, come sapere se i nostri dati sono finiti nelle mani sbagliate? Ci viene consigliato di utilizzare il sito haveibeenpwned.com. Si inserisce il proprio indirizzo email e si verifica se sia finito nell’attacco di un pirata informatico. Inseriamo una mail e scopriamo che risulta ‘coinvolta’ in tre data b r ea c h : il primo è del 2013, quando furono violati 153 milioni di account Adobe. Anche in quel caso la crittografia della password non era stata eseguita correttamente ed era
stato facilissimo ricavare il testo normale. L’indirizzo mail è anche in una lista denominata “Ex ploit . it”, diffusa a fine 2016: 593 milioni di indirizzi email univoci, molti dei quali con password diverse e sottratte a vari sistemi. Questo non significa che quei dati siano nelle mani di qualche criminale, ma il rischio c’è. Nel dubbio, perché non cambiare password?