Sicurezza

LinkedIn a rischio: come e perché può accadere e cosa fare per difendersi dagli attacchi informatici

Il 17 maggio 2016, LinkedIn ha scoperto e poi reso noto che i dati degli utenti, rubati nel 2012, sono stati pubblicati online e messi in vendita nel dark web per l’equivalente in bitcoin di circa 2200 dollari l’uno. Come è potuto succedere? E quali sono le lezioni che aziende e utenti possono imparare da quanto accaduto?

Pubblicato il 07 Giu 2016

foosball-689763-640-160526113619

LinkedIn vulnerabile: gli account presi di mira quattro anni fa si pensava fossero circa 6,5 milioni. In realtà, ora il numero stimato è cresciuto di qualche milione di unità.

Quando LinkedIn ha comunicato che alcune informazioni dei propri utenti erano state compromesse è scattato un allarme generale: i dati rubati sono stati indirizzi e-mail, password crittografate con funzione hash e ID dei membri (ovvero il numero distintivo di ogni profilo). Il social network ha invalidato prontamente le password di tutti gli account ritenuto a rischio – creati prima della violazione del 2012 – e chiesto agli utenti di modificare la propria.

L’importanza di cambiare password

La primissima cosa da fare in casi come questi, proprio come suggerito immediatamente da LinkedIn, è cambiare la propria password e sostituirla con una parola chiave più complessa. Il social dedicato al mondo dei professionisti memorizzava le password criptate o con la funzione hash utilizzando solo l’algoritmo SHA1 senza una serie di numeri posti alla fine degli hash (solitamente utilizzati per rendere più complessa la decriptazione).

Questo ha reso le password abbastanza semplici da decifrare. Negli anni successivi LinkedIn ha risolto il problema e alzato gli standard di sicurezza, ma tutti quegli utenti che dal 2012 non hanno mai modificato la propria password sono rimasti vulnerabili. Sebbene infatti LinkedIn abbia consigliato a tutti gli utenti di modificare le password dopo che l’attacco del 2012 è stato reso pubblico, ha effettivamente chiesto il ripristino solo per gli account compromessi.

Di conseguenza, 117 milioni di utenti registrati hanno continuato a essere a rischio. E solo adesso, quattro anni più tardi, LinkedIn si sta attivando per invalidare tutte le password di questi account. Sapere con assoluta certezza se la password è stata compromessa o meno è impossibile: per questo, secondo gli esperti, cambiarla regolarmente è una buona prassi in grado di ridurre al minimo l’eventuale esposizione al rischio. Uno degli errori da evitare, in questo senso, è quello di riutilizzare più volte la stessa password, sia nella storia di uno stesso account che contemporaneamente per profili diversi. In quest’ultimo caso, infatti, c’è il rischio che una volta compromesso un account siano messi a rischio anche tutti gli altri per cui è valida la medesima password.

Non abbassare mai la guardia

Lo abbiamo già detto: LinkedIn usava la crittografia, ma non lo faceva nel modo più sicuro possibile. L’algoritmo di hashing era infatti relativamente debole e non vi era alcuna aggiunta di testo casuale alle password per renderne più difficile la decodifica. Questo è stato uno degli errori più critici. Qualsiasi organizzazione basi il proprio business sulle password degli utenti, infatti, dovrebbe inderogabilmente garantire i più alti standard di crittografia. Un altra mancanza di cui LinkedIn si è macchiato, secondo gli esperti, è stato non riuscire a stabilire rapidamente e con sicurezza l’esatta portata della violazione.

“Il fatto che un numero così grande di credenziali – ha fatto notare rent Telford, chief executive officer presso Covata – sia stata a disposizione degli hacker per così tanto tempo è profondamente preoccupante. Altrettanto preoccupante è che sia stata sottovalutata la portata di tale violazione e che la necessità di dispiegare migliori strumenti di indagine sia emersa solo dopo l’avvenuta la violazione”.

L’autenticazione a due fattori è importante

Dopo l’attacco del 2012, LinkedIn abilitato l’autenticazione a due fattori (2FA) utilizzando gli SMS: se i 117 milioni di utenti registrati la cui password non è stata azzerata avessero utilizzato questo sistema, non sarebbe più stati a rischio. Gli esperti di sicurezza consigliano agli utenti di abilitare sempre l’autenticazione a due fattori quando disponibile, poiché aumenta in modo significativo la protezione in caso di una violazione dei dati.

Le password sono una reliquia da un’epoca passata – ha commentato Brian Spector, chief executive di MIRACL – e, semplicemente, non forniscono più un’adeguata protezione per il volume di informazioni che tutti noi ci troviamo a gestire oggi online. Le password non sono scalabili per gli utenti, non proteggono da sole il servizio stesso e sono vulnerabili ad attacchi multipli”.

Gli indirizzi e-mail: materiale succulento per gli hacker

Uno degli aspetti messi in evidenza dalla violazione a LinkedIn è il fatto che le password non sono necessariamente il tipo più prezioso di dati di cui gli hacker sono alla ricerca. Secondo Tod Beardsley, security research manager presso Rapid7, il bene più ambito a seguito di questo attacco è rappresentato dall’enorme registro di indirizzi e-mail collegati ai professionisti presenti sul social.

“Gli spammer hanno bisogno di indirizzi e-mail attivi e accurati – ha sottolineato l’esperto – e il basso costo, 5 Bitcoin, a cui questi sono venduti è in grado di generare un notevole interesse da parte dell’industria dello spam. Se infatti le password possono e devono essere cambiate con una certa frequenza, gli indirizzi e-mail e i nomi utente persistono per anni e possono essere un ottimo investimento per i malintenzionati”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 2