LinkedIn vulnerabile: gli account presi di mira quattro anni fa si pensava fossero circa 6,5 milioni. In realtà, ora il numero stimato è cresciuto di qualche milione di unità.
Quando LinkedIn ha comunicato che alcune informazioni dei propri utenti erano state compromesse è scattato un allarme generale: i dati rubati sono stati indirizzi e-mail, password crittografate con funzione hash e ID dei membri (ovvero il numero distintivo di ogni profilo). Il social network ha invalidato prontamente le password di tutti gli account ritenuto a rischio – creati prima della violazione del 2012 – e chiesto agli utenti di modificare la propria.
L’importanza di cambiare password
La primissima cosa da fare in casi come questi, proprio come suggerito immediatamente da LinkedIn, è cambiare la propria password e sostituirla con una parola chiave più complessa. Il social dedicato al mondo dei professionisti memorizzava le password criptate o con la funzione hash utilizzando solo l’algoritmo SHA1 senza una serie di numeri posti alla fine degli hash (solitamente utilizzati per rendere più complessa la decriptazione).
Questo ha reso le password abbastanza semplici da decifrare. Negli anni successivi LinkedIn ha risolto il problema e alzato gli standard di sicurezza, ma tutti quegli utenti che dal 2012 non hanno mai modificato la propria password sono rimasti vulnerabili. Sebbene infatti LinkedIn abbia consigliato a tutti gli utenti di modificare le password dopo che l’attacco del 2012 è stato reso pubblico, ha effettivamente chiesto il ripristino solo per gli account compromessi.
Di conseguenza, 117 milioni di utenti registrati hanno continuato a essere a rischio. E solo adesso, quattro anni più tardi, LinkedIn si sta attivando per invalidare tutte le password di questi account. Sapere con assoluta certezza se la password è stata compromessa o meno è impossibile: per questo, secondo gli esperti, cambiarla regolarmente è una buona prassi in grado di ridurre al minimo l’eventuale esposizione al rischio. Uno degli errori da evitare, in questo senso, è quello di riutilizzare più volte la stessa password, sia nella storia di uno stesso account che contemporaneamente per profili diversi. In quest’ultimo caso, infatti, c’è il rischio che una volta compromesso un account siano messi a rischio anche tutti gli altri per cui è valida la medesima password.
Non abbassare mai la guardia
Lo abbiamo già detto: LinkedIn usava la crittografia, ma non lo faceva nel modo più sicuro possibile. L’algoritmo di hashing era infatti relativamente debole e non vi era alcuna aggiunta di testo casuale alle password per renderne più difficile la decodifica. Questo è stato uno degli errori più critici. Qualsiasi organizzazione basi il proprio business sulle password degli utenti, infatti, dovrebbe inderogabilmente garantire i più alti standard di crittografia. Un altra mancanza di cui LinkedIn si è macchiato, secondo gli esperti, è stato non riuscire a stabilire rapidamente e con sicurezza l’esatta portata della violazione.
“Il fatto che un numero così grande di credenziali – ha fatto notare rent Telford, chief executive officer presso Covata – sia stata a disposizione degli hacker per così tanto tempo è profondamente preoccupante. Altrettanto preoccupante è che sia stata sottovalutata la portata di tale violazione e che la necessità di dispiegare migliori strumenti di indagine sia emersa solo dopo l’avvenuta la violazione”.
L’autenticazione a due fattori è importante
Dopo l’attacco del 2012, LinkedIn abilitato l’autenticazione a due fattori (2FA) utilizzando gli SMS: se i 117 milioni di utenti registrati la cui password non è stata azzerata avessero utilizzato questo sistema, non sarebbe più stati a rischio. Gli esperti di sicurezza consigliano agli utenti di abilitare sempre l’autenticazione a due fattori quando disponibile, poiché aumenta in modo significativo la protezione in caso di una violazione dei dati.
“Le password sono una reliquia da un’epoca passata – ha commentato Brian Spector, chief executive di MIRACL – e, semplicemente, non forniscono più un’adeguata protezione per il volume di informazioni che tutti noi ci troviamo a gestire oggi online. Le password non sono scalabili per gli utenti, non proteggono da sole il servizio stesso e sono vulnerabili ad attacchi multipli”.
Gli indirizzi e-mail: materiale succulento per gli hacker
Uno degli aspetti messi in evidenza dalla violazione a LinkedIn è il fatto che le password non sono necessariamente il tipo più prezioso di dati di cui gli hacker sono alla ricerca. Secondo Tod Beardsley, security research manager presso Rapid7, il bene più ambito a seguito di questo attacco è rappresentato dall’enorme registro di indirizzi e-mail collegati ai professionisti presenti sul social.
“Gli spammer hanno bisogno di indirizzi e-mail attivi e accurati – ha sottolineato l’esperto – e il basso costo, 5 Bitcoin, a cui questi sono venduti è in grado di generare un notevole interesse da parte dell’industria dello spam. Se infatti le password possono e devono essere cambiate con una certa frequenza, gli indirizzi e-mail e i nomi utente persistono per anni e possono essere un ottimo investimento per i malintenzionati”.