Dropbox ha da poco reso noto che gli indirizzi e-mail e le password di 68.680.741 account sono stati violati in un attacco risalente al 2012: la società ha quindi consigliato agli utenti potenzialmente interessati di reimpostare le password per tutelare i propri dati. Circa una settimana prima che la notizia venisse resa pubblica, l’azienda ha prontamente richiesto a tutti gli utenti potenzialmente interessati di reimpostare le proprie credenziali.
Secondo gli esperti, questo approccio nei confronti di un evento tanto impegnativo rappresenta un ottimo modello per le altre aziende operanti nel cloud che dovessero trovarsi a far fronte a una simile situazione. Un dialogo aperto con i propri utenti in merito alle questioni di sicurezza informatica che le aziende come Dropbox stanno promuovendo contribuirà, secondo gli operatori del settore, a rafforzare le community di sicurezza e tecnologia.
Una violazione così massiccia, inoltre, offre l’occasione a privati e aziende di riflettere in merito alla azioni di sicurezza informatica da intraprendere per assicurarsi di non cadere vittima di ulteriori violazioni. Gli esperti evidenziano dunque cinque prassi fondamentali a cui attenersi per mettere al sicuro gli ormai numerosi account che ognuno di noi ha online.
#1 Non riutilizzare mai la stessa password
Oltre al danno la beffa: l’attacco a Dropbox è partito da un account di un dipendente della società. A metà del 2012, infatti, una serie di coppie username/password ottenute in diverse violazioni online furono usate dai cybercriminali per cercare di accedere anche ad account Dropbox. E proprio il dipendente in questione aveva riutilizzato su LinkedIn la stessa password: gli hacker riuscirono così a violare facilmente il suo profilo, sottraendo un project file contenente gli indirizzi e-mail di diversi utenti. Ma il povero malcapitato non è di certo l’unico ad aver commesso questo errore. Secondo un rapporto redatto da TeleSign, infatti, il 73% degli account sono protetti da password duplicate e il 54% dei consumatori utilizza cinque (o addirittura meno) diverse password per tutti i propri profili online.
Occorre maggiore consapevolezza e più attenzione, in una realtà in cui il cybercrime è sempre più aggressivo e sofisticato. Gli esperti di sicurezza raccomandano l’uso di uno strumento di password management per per generare, archiviare e gestire delle parole chiave che siano forti e univoche per tutti gli account online.
#2 Cambiare regolarmente la password
Oltre a non utilizzare la stessa sequenza di caratteri per tutti i propri profili è importante anche modificarli con una certa frequenza. La violazione ai danni di Dropbox ha riguardato infatti solo quegli utenti che non avevano mai cambiato le loro password dal 2012. Gli analisti evidenziano che il 47% degli account online sono protetti da password che non vengono modificate in media per cinque anni. E invece cambiare i codici di accesso regolarmente è fondamentale: in caso di violazioni, per esempio, permette di restringere sensibilmente il tempo d’azione degli hacker.
Gli esperti raccomandano soprattutto alle aziende di obbligare i propri dipendenti a cambi regolari delle password per i vari account. Dropbox, dal 2012, ha aggiornato diverse volte le modalità di memorizzazione delle password – compreso l’aggiornamento dei suoi meccanismi di hashing delle password da bcrypt a SHA-1 – così che tutte le password modificate da allora abbiano diversi livelli di protezione.
#3 Abilitare l’autenticazione a più fattori
Anche nel caso in cui ci sia una violazione, se l’utente ha abilitato l’autenticazione a due fattori (2FA) i cybercriminali non saranno in grado di utilizzare le password senza il codice aggiuntivo richiesto dal sistema. Per questo motivo la two-factor authentication è fortemente consigliata da tutti gli esperti di sicurezza informatica.
Perché è importante uno strumento come questo? Ecco un esempio: dei malintenzionati potrebbero acquistare uno strumento di password cracking per meno di 20mila dollari. Secondo gli esperti, in condizioni ideali, un tale sistema consentirebbe agli aggressori di testare un trilione di password al secondo: il che significa che tutte le password di otto lettere potrebbe essere testate in appena due secondi e quelle di nove lettere in meno di un minuto!
#4 Assumersi la responsabilità per la protezione dei propri dati
Le violazioni, come quella in questione, dimostrano quanto sia importante per gli individui e le imprese assumersi la responsabilità per la protezione dei propri dati. Gli esperti sottolineano quanto sia importante non fare affidamento esclusivamente sulle misure di sicurezza poste in essere da terzi, soprattutto quando si trattano dati aziendali riservati. L’impiego dell’autenticazione a più fattori, l’uso di password complesse e univoche e garantire la sicurezza degli accessi sono aspetti centrali, ma è ancora più importante evitare la memorizzazione di dati sensibili personali o aziendali in qualsiasi applicazione che si trovi sotto il controllo di terzi.
#5 Ottenere la visibilità dei dati aziendali nel cloud
La violazione di Dropbox non deve scoraggiare le imprese a utilizzare il cloud per memorizzare le proprie informazioni: questa rimane infatti una modalità molto sicura, se gestita nel modo corretto. Molte aziende che si affidano a Dropbox per il cloud storage a basso costo potrebbero infatti lasciare esposti molti dei propri dati sensibili e la situazione è ancora più complessa se si pensa al fenomeno dello shadow IT: i reparti IT, infatti, potrebbero anche non essere pienamente consapevoli dell’utilizzo di Dropbox da parte dei dipendenti che avessero, in questi anni, scaricato e utilizzato l’applicazione senza una precisa autorizzazione aziendale. In questo caso esiste il rischio fondato che l’azienda possa perdere il controllo dei propri dati. Le aziende devono invece essere consapevoli di tutti i servizi cloud in uso al loro interno, solo così è possibile rispondere alle violazioni e limitare i rischi: è necessario un nuovo approccio alla data security. Occorre, per esempio, limitare la possibilità di scaricare dati ed effettuare controlli per monitorare chi ha avuto accesso a quali dati e quando. Secondo gli esperti è anche fondamentale impostare una policy per il trattamento dei dati aziendali e definire un elenco di servizi cloud ammessi o non ammessi: in questo modo i dipendenti possono essere incoraggiati a utilizzare le applicazioni approvate rispetto alle alternative più rischiose. Con il monitoraggio del cloud, unito a controlli di identità e di gestione degli accessi, le imprese possono più facilmente identificare anomalie ed entrare in azione in caso di minacce.