1,17 miliardi di credenziali rubate a seguito di numerose violazioni hanno mosso Google, Yahoo, Microsoft, Mail.ru e altri fornitori di servizi webmail tedeschi e cinesi a esaminare con cura un rapporto realizzato da Hold Security in merito alla inquietante scoperta.
La società di sicurezza ha ottenuto l’accesso a questi dati in cambio della pubblicazione di commenti positivi sulle pagine social di un giovane hacker russo (il che ha sollevato qualche dubbio in merito all’autenticità di queste informazioni).
Dopo aver eliminato i duplicati, il portavoce di Hold Security ha dichiarato che gli utenti unici erano 272 milioni, mentre 42,5 milioni non erano mai stati visti prima. La maggior parte delle credenziali provenivano da Mail.ru (57 milioni), seguito da Yahoo (40 milioni), Hotmail (33 milioni) e Gmail (24 milioni).
Mail.ru ha riferito all’agenzia di stampa Reuters di aver avviato un processo di verifica per chiarire se queste combinazioni di username/password corrispondano effettivamente a degli account di propri utenti e se questi siano attivi; dai primi controlli sembra non sia ancora stata trovata alcuna combinazioni che corrisponda effettivamente a indirizzi di posta elettronica esistenti. Yahoo e Google hanno confermato di stare esaminado il rapporto, mentre Microsoft ha detto di possedere misure di sicurezza in grado di rilevare la presenza di account compromessi, richiedere ulteriori informazioni per avviare le verifiche con i proprietari degli account e aiutarli a riottenerne l’accesso esclusivo.
Riutilizzare la stessa password su più account? Sbagliato!
Alcuni esperti hanno fatto notare che, anche se le combinazioni nome utente / password non sono validi, i cybercriminali potrebbero comunque utilizzare gli indirizzi e-mail rubati per avviare campagne di spam. Jonathan Cran, vice-president of operations presso la società di sicurezza Bugcrowd, ha detto che ciascuno dei principali fornitori ha la possibilità di imporre modifiche agli account: ciò significa che probabilmente la maggior parte di questi profili saranno presto disattivati o costretti una reimpostazione della password.
Tuttavia, L’esperto ha sottolineato che la scoperta di una tale raccolta di credenziali rubate conferma ancora una volta che la password da sola non rappresenta più un meccanismo di autenticazione sicuro. “Una violazione in un dato provider – ha fatto notare Cran – può influenzare anche gli account dello stesso utente presenti su altri provider, nel caso in cui vi sia un riutilizzo della stessa password per diversi account. E questo rappresenta un pericolo chiaro e realistico per le aziende, dato che molti utenti utilizzano la stessa password sia per gli account personali che per quelli professionali”.
L’autenticazione a più fattori
Anche se i principali fornitori colpiti supportano l’autenticazione a due fattori (2FA-Two-factor authentication), hanno riferito che probabilmente la maggior parte delle credenziali rubate sono associate ad account non abilitati alla 2FA. “Secondo le stime – ha spiegato Cran – su Gmail l’adozione della 2FA è attualmente a meno del 10%, ma nei prossimi dieci anni mi aspetto che l’utilizzo dell’autenticazione a due fattori cresca ampiamente. Oggi come oggi, in ogni caso, il problema delle credenziali è questione importante per tutti”. Secondo David Melamed, senior research engineer di CloudLock, i servizi Cloud che supportano l’autenticazione a più fattori dovrebbero essere preferiti rispetto agli altri. L’esperto ritiene inoltre che monitorare continuamente le aree oscure del web stia diventando di vitale importanza per le aziende: solo così è infatti possibile reagire in tempo (quasi) reale e limitare i danni provocati da attacchi informatici.
C’è bisogno di ripensare il concetto di password
La Giornata Mondiale della password, il 5 di maggio, è statainfatti una campagna volta a promuovere l’uso dell’autenticazione a più fattori per migliorare la sicurezza online. “Più ci muoviamo nella nostra vita online – ha dichiarato David Mount, direttore della società di software Micro Focus -, più abbiamo bisogno di poter contare su un modo efficace per dimostrare in modo sicuro la nostra reale identità. A questo scoppo si possono utilizzare, per esempio, token, biometria, indicatori comportamentali o un mix di queste misure, in base alla sensibilità delle informazioni o del servizio da proteggere”. Durante il World Password Day, anche il CTO di Gemalto Jason Hart ha ribadito la poca sicurezza garantita dalle password tradizionali: “Le password statiche comportano sempre il rischio di violazione. Le organizzazioni hanno bisogno di cercare alternative per autenticare gli utenti e rafforzare la sicurezza. Soprattutto, le aziende dovrebbero adottare una strategia di sicurezza olistica che offra loro più livelli di protezione e comprenda strategie come l’autenticazione a due fattori, la crittografia dei dati e un’opportuna gestione delle chiavi”. Will Harwood, fondatore e CTO di Silicon:Safe ritiene che la soluzione migliore sia quella di mettere i dati bulk delle password fuori dalla portata di chiunque. In che modo? Inserendoli in database hardware dedicati che consentano solo di memorizzare e confrontare i dati, ma mai di rivelarli: “Questo renderebbe impossibile per chiunque, che si tratti di criminali o amministratori di sistema, leggere il database delle password o estrarre da esso informazioni”.