skip to main | skip to sidebar
2 commenti

Panico per LinkedIn, oltre 100 milioni di password rubate. Dal 2012

Brutta, bruttissima figura per LinkedIn. Sul mercato nero sono in vendita gli indirizzi di mail e le password di 117 milioni (c'è chi dice 164 milioni) di suoi utenti, che sono stati rubati all’azienda. Il guaio è che il furto risale a quattro anni fa ma viene annunciato in dettaglio soltanto adesso: prima si pensava che il danno fosse circoscritto (si fa per dire) a circa 6,5 milioni di persone.

Ciliegina sulla torta, sono coinvolto personalmente: fra gli indirizzi di mail violati ce n’è uno dei miei, secondo HaveIBeenPwned, noto sito che avvisa gli utenti iscritti quando uno dei loro account è oggetto di furto di credenziali.

L’incidente di LinkedIn è un promemoria perfetto della ragione per la quale è sbagliatissimo usare la stessa password dappertutto “perché tanto la mia non la indovinerà mai nessuno”: oggigiorno non è più questione di indovinare, perché i ladri si riforniscono direttamente e in massa alla fonte, costituita dai fornitori di servizi su Internet. Di conseguenza, non ha importanza quanto siano forti le mie misure di sicurezza: quelle che contano sono quelle del fornitore di servizi. Che in questo caso erano decisamente scadenti.

Se usate la stessa password dappertutto e viene violato l’archivio di password di uno dei vostri fornitori di servizi, i criminali avranno gioco facile nel prendere il controllo di tutti i vostri account. Se prendono quello della mail, possono leggere tutta la vostra corrispondenza e soprattutto farsi mandare i link di reset delle password di tutti i vostri servizi online.

Se avete un account su LinkedIn, vi conviene cambiarne la password, rendendola diversa dalle altre che usate; se avete usato la password di LinkedIn anche per altri siti, cambiate anche le password di questi siti. E per ridurre il rischio che capiti di nuovo, attivate la verifica in due passaggi (o autenticazione a due fattori): accedete al vostro profilo, cliccate sulla vostra icona del profilo e scegliete Privacy e impostazioni. Ricordatevi di attivare l’opzione Vuoi uscire da tutte le sessioni?, perché c’è una vulnerabilità di LinkedIn non risolta che consente il furto di password se avete altre sessioni aperte (per esempio sul telefonino), e aggiungete un numero di telefonino per consentire la verifica in due passaggi: in questo modo per rubarvi l’account dovranno avere anche il vostro telefonino.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (2)
Domanda: se uno dovesse subire danni concreti per le falle di sicurezza di Linkedin (o altri) può fare causa (almeno civile) a Linkedin (o altro servizio)?
Ciao,
Comunque c'è da dire che sono proprio cattive pratiche da parte della società che detiene i nostri dati. La buona pratica consiglia che la società tenga non la password in chiaro ma il suo hash.
È il metodo in cui i sistemi Linux gestiscono le password nel file /etc/password
Così se c'è una intrusione possono rubare l'indirizzo mail ma non la password.
Stefano