skip to main | skip to sidebar
13 commenti

Se avete un account su Libero.it, cambiate password e occhio alle truffe

Questo articolo vi arriva gratuitamente grazie alle donazioni dei lettori. Se vi piace, potete farne una per incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Il database che contiene le password degli utenti di Libero.it è stato trafugato. Libero ha mandato un avviso agli utenti, annunciando un “attacco informatico [...] con accesso al database che custodisce, in formato criptato, le password dei servizi”. Sulle pagine di aiuto di Libero, invece, nessuna avvertenza.

La prima segnalazione della violazione mi è arrivata da OverSecurity via Twitter e in questo articolo; ormai se ne parla un po’ ovunque (TomsHw, IlPost, ZeusNews) con le consuete raccomandazioni: è meglio cambiare la password del vostro account su Libero.it, se ne avete uno, anche se il database era cifrato (stando perlomeno all’avviso di Libero.it) e quindi non è immediato estrarne le password. Inoltre se avete usato su altri siti la password che usate su Libero.it, cambiatela anche in quei siti.

Da parte mia aggiungo che è meglio fare molta attenzione a qualunque avviso, ricevuto via mail o in altro modo, che invita a cliccare da qualche parte per aggiornare la password di Libero.it: ora che la notizia della violazione è in circolazione, è inevitabile che qualche criminale informatico coglierà l’occasione per fare phishing prendendo di mira gli utenti di Libero.it con falsi messaggi apparentemente provenienti dal servizio clienti. Per cambiare la password accedete a Libero.it digitando a mano il nome del sito. Prudenza.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (13)
Io da anni ho ricevuto email di spam dai miei contatti con email Libero. Secondo me ci sono ancora altri problemi di sicurezza.
Refuso nella parte in grassetto, inaltro in altro ;)
"Io da anni ho ricevuto email di spam dai miei contatti con email Libero. Secondo me ci sono ancora altri problemi di sicurezza. "

Idem, stamattina ho colto al volo l'occasione per chiudere l'account!
Paolo Alberton,

grazie della segnalazione, ho corretto.
Io oltre all'account @libero.it ho anche un account @inwind.it, che da molti anni è gestito dal sito di libero (da quando wind e infostrada si sono fuse).
A questo indirizzo non ho ricevuto l'avviso ma nel dubbio ho cambiato la password anche lì.
@Pietro De Nicolao:
Diciamo che Libero ha sempre tardato anni rispetto agli altri a implementare misure di sicurezza, quindi, per semplificare, per lungo tempo è stato possibile in un modo o nell'altro inviare email falsificando il mittente in modo che risultasse un indirizzo @libero.it, pur senza avere accesso effettivo a quell'account (e alla sua rubrica).
Ora che invece di accessi fraudolenti ce ne saranno parecchi, prepariamoci a divertirci ancora di più!:D
Aggiungo un'informazione.

Ho un account @libero.it creato ai tempi di Libero@Sogno (o come si chiamava la loro prima offerta Internet gratuita) al quale di sicuro non accedevo dal 2001.
Mi aspettavo che fosse ormai stato bello che rimosso per inattività, invece sono riuscito a ricordare la password (non so come), ed una volta effettuato l'accesso ho scoperto che è solo stato disattivato, e per riattivarlo è necessaria solo la vecchia password, quindi sarebbe stato vulnerabile.

Per recuperare la password nel caso sia stata dimenticata, e non sia stato configurato un indirizzo di recupero come nel mio caso, invece è necessario un documento d'identità.

Attenzione quindi se avete account anche così vecchi collegati al vostro nome reale, cosa abbastanza probabile visto che al tempo offriva un servizio di connettività molto in voga.
Mi scuso per l'ulteriore post, ma ho scoperto anche che ovviamente, dal momento che al tempo ero minorenne, l'intestatario dell'account era mio padre.

Quindi la procedura di recupero password tramite documento d'identità probabilmente si sarebbe protratta per qualche giorno, visto che avrebbero probabilmente rifiutato il mio documento, e chissà se mi avrebbero dato un indizio sull'intestatario reale, ammesso che abbiano il tempo in questo momento di gestire tutti questi casi.

Fortunatamente ho ricordato la password, altrimenti sarebbe stato sicuramente più veloce trovarla dall'hash (non era banale ma era di 7 caratteri alfabetici minuscoli) che completare la procedura di recupero.

Ora, dopo aver cambiato la password, per cancellare l'account è necessaria una richiesta stampata, firmata e scannerizzata con allegato il documento d'identità (ma l'intestatario si può cambiare, quindi posso farlo direttamente io).

Tutto questo per un servizio che non uso più (come probabilmente la maggior parte dei loro utenti) da 17 anni e che non è in grado di gestire in maniera decente la sicurezza dei miei dati...
Come al solito, si tratta di accedere alla propria casella di posta, e solo da LI' cambiare password, senza dar retta ad altri link o avvisi via mail, FB messenger o whatsapp.
Cioè: si cambia password di un servizio solo se si è certi di essere già DENTRO quel servizio.
Purtroppo libero.it ha dei requisiti assurdi a cui l'utente deve sottostare per scegliere una password:
Deve essere da 8 a 20 caratteri; perché non di più?
I caratteri validi sono lettere, numeri, punto (tranne all'inizio della password) e solo i caratteri speciali [ - _ @ + $ ! ]. Per quale assurdo motivo non posso usare il punto all'inizio? Non è tanto che volevo usarlo, ma mi fa temere sul genere di codice (sanitizzazione e cifratura) a cui viene data in pasto la mia password.
Il fatto che non posso usare lo spazio e che sono limitato a 20 caratteri fa cadere completamente il comodo concetto di "passphrase", per cui una mia password può benissimo essere "la Marianna la va in campagna quando il Sole tramonterà", di sicuro molto difficile da scordare.
@Balau:
Non avevo fatto caso a queste limitazioni... in casi del genere le ipotesi sono due:
1) scrivono da qualche parte nel database la password in chiaro
2) usano hash senza avere la minima idea di cosa siano, quindi figurati l'idea che possono avere di altri problemi di sicurezza più complessi da gestire
E' stata l'occasione per scrollarmi di dosso la pigrizia e cancellare l'account libero.it che ormai non usavo da anni
live long and prosper
Se non fosse che nel web ci sono alcune mie fotografie panoramiche con sovraimpresso il mio vecchio indirizzo e-mail di Libero e che talvolta, pur se raramente, qualcuno vedendole me le chiede per l'acquisto (o, più spesso, per supplicarne la concessione dell'uso gratuito ...!), avrei già sepellito da anni Libero sotto la sua stessa valanga di patetica, fastidiosa, stupidissima spam, che di fatto non è eliminabile mai del tutto.
Caparbiamente una certa categoria di spam gentilmente offerta a piene mani e quotidianamente, riesce a superare impunemente gli antispam.

Paolo, mai e poi mai io clicco su links che non ritengo di più che sicura provenienza, e spesso anche se sembrano assolutamente sicuri ed usuali (avvisi di eBay, di Amazon, della mia Banca, riepiloghi settimanali di siti e blog noti e che frequento regolarmente, notifiche di spedizioni etc. etc.), io ho il radar sempre acceso e ci penso bene prima e dopo.