skip to main | skip to sidebar
4 commenti

LinkedIn risarcisce per le password rubate: un dollaro a testa

Una delle raccomandazioni più frequenti e più largamente ignorate di tutta la sicurezza informatica è non usare la stessa password in più di un sito e non fidarsi della capacità dei social network di custodire le password degli utenti, perché se sbagliano qualcosa la faranno franca. La dimostrazione perfetta di questa regola è arrivata di recente a proposito di LinkedIn.

Nel 2012 LinkedIn fu colpita dal furto di 6,5 milioni di password a causa di un suo errore madornale: le custodiva senza fare salting (ossia cifrandole senza aggiungervi una sequenza casuale di bit per rendere difficile decifrarle in caso di furto). Circa 800.000 utenti americani dei servizi premium di LinkedIn hanno avviato una class action che è arrivata adesso a un accordo: un risarcimento di 1,25 milioni di dollari. In pratica, tolte le parcelle degli avvocati, per ciascun utente colpito spetta grosso modo un dollaro, magari qualcosina di più se il numero delle richieste di risarcimento è minore del numero dei partecipanti alla class action.

In altre parole, se un social network commette un errore grave nel custodire la password che protegge il vostro account e vi causa perdite di lavoro, di amicizie o di reputazione, affari vostri, e non importa se dice che “prende molto sul serio la privacy e la sicurezza dei suoi membri”. Tenetelo presente prima di affidare i vostri dati e le vostre comunicazioni a questi servizi.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (4)
"Xxxx prende molto sul serio la privacy e la sicurezza"
e' l'incipit di ogni comunicato di ditte che sono state trapanate. E' l'ipocrisia dei comunicati stampa scritti da consulenti PR e consulenti legali ed e' il metro con cui valutare le comunicazioni aziendali dettati dagli stessi consulenti.
Penso che si applichi alla perfezione quest'ultimo saggio di Bruce Schneier:

https://www.schneier.com/blog/archives/2015/02/everyone_wants_.html

We'll never solve these security problems as long as we're our own worst enemy. That's why I believe that any long-term security solution will not only be technological, but political as well. We need laws that will protect our privacy from those who obey the laws, and to punish those who break the laws. We need laws that require those entrusted with our data to protect our data. Yes, we need better security technologies, but we also need laws mandating the use of those technologies.

(Enfasi mia.) Le regole ovviamente dovrebbero includere l'uso di algoritmi a regola d'arte per proteggere password e dati personali.

Il resto è aria fritta.
Io sono sicurissimo di aver visto, non ricordo in che anno (2010 probabilmente), un recupero password (non mio) di LinkedIn in cui la password veniva mandata in chiaro.
È il motivo per cui non mi sono iscritto all'epoca e non l'ho ancora fatto (nonostante dopo lo scandalo immagino adottino procedure più decenti).
Paolo: per puntualizzare non è un errore madornale non usare il salt, lo è (a quei livelli) usare algoritmi di crittografia così come sono. Per gli md5 ad es. esistono dei vocabolari online (non traducono TUTTE le stringhe ma vanno bene se si tratta di password). Basterebbe già fare l'md5 di un sha1 per elevare enormemente il livello di complessità, anche senza salt. Anche perché per tentare un brute force devi sapere che si tratta di un md5 di un sha1. E per non farlo sapere basta non sia open =)