skip to main | skip to sidebar
12 commenti

Chi compra le password rubate? Facebook

Alex Stamos. Credit:
Brendan Moran/Getty Images.
Capita spesso di sentire notizie di furti in massa di password da parte di criminali che poi saccheggiano gli account violati oppure li rivendono ad altri criminali per commettere furti d’identità o estorsioni. Capita meno spesso di venire a conoscenza di chi compra queste credenziali rubate. Ma ora sappiamo il nome di almeno una delle organizzazioni che lo fa: Facebook.

Lo ha detto Alex Stamos, boss della sicurezza di Facebook, al Web Summit tenutosi pochi giorni fa a Lisbona. Per controllare che gli utenti di Facebook non usino sul social network una password che usano anche altrove, Facebook compra le password violate di altri siti, messe in vendita dai criminali informatici, e le confronta con quelle dei propri utenti.

In realtà Facebook non custodisce le password dei propri utenti, ma ne ospita una versione elaborata tramite una funzione matematica (hashing) difficilmente reversibile: si può partire da una password per crearne una versione hash, ma non è possibile risalire a una password partendo dalla sua versione hash. Quando un utente si collega a Facebook, la sua password viene elaborata al volo per crearne una versione hash: se questa versione corrisponde a quella custodita da Facebook, la password viene accettata. È una tecnica diffusissima nel campo della sicurezza informatica.

Comprando gli archivi di password rubate, Facebook può insomma scoprire quali suoi utenti usano anche altrove la password usata per Facebook e li può avvisare. Secondo Stamos, questa tecnica ha permesso di allertare decine di milioni di utenti, raccomandando loro di non usare per Facebook una password già usata per altri siti. Ovviamente questo significa che Facebook paga i criminali e quindi incentiva il furto di password, ma questo non sembra turbare il sonno di Mark Zuckerberg.


Fonti: Sophos, Cnet.

Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (12)
Non è una pratica illegale?
Il fatto che Facebook scopra l'identità di chi ha utilizzato determinati servizi può essere anche violazione della privacy?
Ovviamente questo significa che Facebook paga i criminali e quindi incentiva il furto di password, ma questo non sembra turbare il sonno di Mark Zuckerberg.

E perché dovrebbe. Per lui è più importante che sia FB a vendere i dati degli utenti e non che glieli freghino: sarebbe come rubare soldi ad una banca o i gioielli ad una gioielleria.

Non credo che chi, per mestiere, vende informazioni personali poi si crei scrupoli a incentivare il mercato delle password rubate.

Non mi meraviglierei se FB non fosse l'unica azienda a fare ciò.
Della serie: finché ci sarà chi paga fior di quattrini per oggetti d'Avorio, i bracconieri di elefanti e rinoceronti continueranno a fare strage dei suddetti quadrupedi.
Allo stesso modo, finché c'è un mercato dove i "buoni" pagano profumatamente la merce rubata per proprio tornaconto, ci saranno "cattivi" che continuano a rubarla.
Detta così la cosa mi sembra veramente difficile da credere: una società quotata in borsa che compra beni illegali sul mercato nero? :-0

Non so come sono le regole al riguardo negli USA ma mi viene da pensare che le vicenda sia un po' più complessa... forse Facebook si rivolge a ditte che raccolgono questi dati per motivi di sicurezza (un po' come se uno si rivolgesse ad un investigatore privato).
Insomma sarebbe interessante saperne di più.
il fatto che poi spaccino queste pratiche come un modo per proteggerchi è la cosa più comica..
Cioè facebook compie un reato di ricettazione per svolgere un servizio di sicurezza... che nessuno gli ha chiesto?!?
Ma stiamo scherzando? Questo significa incoraggiare il furto di dati, altro che sicurezza degli utenti.
Se fosse vero Facebook conoscerebbe le password dei propri utenti.
Visto che per ipotesi le raccolgono probabilmente non le cancelleranno, sono dati aggiuntivi per loro... ma le terranno in archivio separato da quello contenente gli hash?
Da notare la precisione di Paolo:
"Facebook non custodisce le password dei propri utenti".
NON "Facebook non ha le password dei propri utenti".
(Facebook riceve la password in chiaro, poi (dice) la ignora ma salva la versione hash w/salt).
@Unknown
Se fosse vero Facebook conoscerebbe le password dei propri utenti.

In realtà FB confronta la stringa di Hash delle password "acquistate" con quelle delle password dei suoi utenti. Se ne trova una consiglia l'utente di cambiarla.

Solo se l'utente non segue il consiglio si potrebbe dire che FB ne conosca la password.
Clodo, mi spieghi che differenza lessicale c'è tra il significato della parola avere e custodire?
che differenza lessicale c'è tra il significato della parola avere e custodire?

Un custode custodisce, un avente possiede. Il primo ne ha cura ma non può decidere che farne, il secondo sì.
Nella Genesi, Dio dà la terra ad Adamo in custodia. Invece la sua stirpe l'ha trattata come se la possedesse.