Le credenziali includono circa 1,6 milioni di credenziali per l’accesso ad aree private su siti web, 320.000 nomi utente e password di posta personali, 41.000 credenziali per server FTP, 3.000 dati d’accesso Remote Desktop, 3.000 coppie username-password password per server SSH.
Circa 2 milioni di credenziali d’accesso a siti web come Google, Facebook, Twitter e Yahoo sono state pubblicate online. Autori della scoperta sono i tecnici di Trustwave
che hanno portato a galla il risultato della pesante “razzia”
esaminando un server situato in Olanda. Tale macchina veniva utilizzata
da un gruppo di criminali informatici per controllare una vasta schiera
di sistemi infettati da malware ed entrati a far parte (all’insaputa dei
legittimi proprietari) della botnet “Pony“.
Le credenziali,
sottratte sui sistemi degli utenti di mezzo mondo, includono circa 1,6
milioni di credenziali per l’accesso ad aree private su siti web più o
meno famosi, 320.000 nomi utente e password per la consultazione di
account di posta personali, 41.000 credenziali per il login su server
FTP, 3.000 dati d’accesso Remote Desktop, 3.000 coppie username-password
per l’ingresso su server SSH.
Quanto evidenziato da Trustwave
fa riflettere innanzi tutto su quanti utenti siano ancora a rischio
infezione perché ancor’oggi non vengono adottate le più elementari
misure per la protezione dei propri sistemi e su quanto sia importante,
d’ora in avanti, poggiare sempre più sull’autenticazione a due fattori.
Si
chiama così quel meccanismo che consente di accedere ad un servizio
soltanto facendo ricorso all’utilizzo congiunto di due metodi di
autenticazione individuale. Un approccio del genere consente di fidare
su di un livello di sicurezza più elevato scongiurando eventuali
tentativi di accesso da parte di persone non autorizzate. Per effettuare
il login su un servizio è possibile utilizzare una password ma anche un
telefono cellulare od un oggetto fisico chiamato “token” od, ancora,
l’impronta digitale, la voce od altre caratteristiche che
contraddistinguono ogni individuo in modo univoco (biometria). Un
sistema a due fattori sfrutta, per l’autenticazione dell’utente, due
diversi metodi tra quelli citati.
Ecco quindi che sempre più servizi di online banking
stanno affiancando, alla classica coppia username-password, anche
l’invio su cellulare di codici di conferma oppure la convalida
telefonica (viene richiesto di chiamare un numero fisso dell’istituto
bancario per ricevere automaticamente il via libera per il login o per
un’operazione dispositiva).
Anche i social network si stanno attivando: basti pensare all’“approvazione degli accessi” e al servizio “notifiche degli accessi” di Facebook, alla verifica in due passaggi di Google ed al servizio similare di Twitter.
Graham Cluley, uno dei massimi esperti di Sophos, rileva innanzi tutto come ancora molti utenti utilizzino password semplici e cita il sito Have I been pwned
che consente di stabilire rapidamente se il proprio indirizzo e-mail,
insieme con le altre credenziali, possa essere stato sottratto da parte
di terzi nei principali attacchi su vasta scala che si sono via a via
verificati.
