Twitter sta costringendo milioni di utenti a reimpostare le proprie password. Perché? Il motivo sono le credenziali di accesso di quasi 33 milioni di account finite nel dark web.
Secondo il social network di San Francisco, l’ingente mole di dati rubati ha tre ipotesi: provenire dall’azione di alcuni malware sui computer degli utenti, da altre recenti violazioni o da una combinazione di entrambe le strategie.
“La diffusione di violazioni dei dati da altri siti web – si legge sul blog ufficiale di Twitter – è una sfida per tutti i siti e non solo per quelli che hanno subito direttamente la violazione. Gli hacker infatti estraggono informazioni come nome utente, e-mail e password da un determinato portale e provano poi automaticamente a entrare, con gli stessi dati, negli account presenti su altri siti”.
LeakedSource ha spiegato di aver ottenuto i dati da una fonte che utilizza l’alias Tessa88@exploit.im, ma non è noto se questo alias si riferisca a un gruppo o un solo individuo. Indipendentemente dalla provenienza, comunque, Twitter ha effettuato un controllo incrociato dei dati provenienti da LeakedSource con quelli dei propri utenti e ha identificato “un certo numero di account” che necessitava di una maggiore protezione. Così il social ha chiesto la reimpostazione della password a tutti questi utenti, ma ha rifiutato di rendere pubblico l’effettivo numero di account vulnerabili riscontrati. Il Wall Street Journal ha stimato che il pericolo fosse nell’ordine di milioni di account.
123456: la password perfetta (per farsi violare l’account)
Quanto accaduto mette ancora una volta in evidenza la scarsa sicurezza fornita dal solo utilizzo di password tradizionali, aggravata dal fatto che spesso le persone utilizzano più volte la stessa password (per di più debole) per diversi account. Secondo LeakedSource, la password più frequentemente utilizzata per Twitter è “123456”, segnalata per più di 120.000 clienti, seguita da “qwerty” e “password”.
Risulta chiaro come quindi siano spesso gli utenti stessi il primo anello debole di una catena che li porta dritti al pericolo di violazione: gli esperti raccomandano a tal proposito di utilizzare password forti (evitando il solo impiego di semplici parole di senso compiuto) e univoche per ogni account, di abilitare ove possibile l’autenticazione a due fattori e di utilizzare un gestore di password.
Twitter fa parte della crescente schiera di servizi online che, come un ulteriore livello di sicurezza per i propri utenti, offrono l’autenticazione a due fattori o la verifica di accesso. Invece di accedere attraverso l’inserimento della sola password, per esempio, gli utenti possono scegliere di dover inserire anche un codice inviato loro via SMS.
Malware a caccia di password
Gli esperti sostengono anche che, sebbene memorizzare le password localmente sul proprio browser possa essere utile, si tratta di una pratica molto poco sicura. Per i malware, infatti, risulta semplicissimo raccogliere credenziali memorizzate nei browser, poiché questi database di default di solito non hanno controlli di sicurezza adeguati. Per ovviare al problema, si può utilizzare per esempio un’estensione del browser con funzioni di password manager che codifichi tutte le informazioni dell’utente utilizzando la crittografia AES a 256 bit. I servizi online oggi sono sempre più consapevoli dell’importanza di un elevato grado di prevenzione e stanno prendendo sempre più provvedimenti per garantire che le password dei propri utenti siano uniche e sicure: per farlo verificano che non vi sia alcuna corrispondenza tra le credenziali in uso e quelle fuoriuscite da precedenti violazioni su altri siti e pubblicate sul web. Netflix, per esempio, da poco ha chiesto di reimpostare la password a tutti quegli utenti le cui credenziali sono state trovate tra i dati di vecchie violazioni su Linkedin, Tumblr e MySpace recentemente diffusi.