Una delle raccomandazioni più frequenti e più largamente ignorate di tutta la sicurezza informatica è non usare la stessa password in più di un sito e non fidarsi della capacità dei social network di custodire le password degli utenti, perché se sbagliano qualcosa la faranno franca. La dimostrazione perfetta di questa regola è arrivata di recente a proposito di LinkedIn.
Nel 2012 LinkedIn fu colpita dal furto di 6,5 milioni di password a causa di un suo errore madornale: le custodiva senza fare salting (ossia cifrandole senza aggiungervi una sequenza casuale di bit per rendere difficile decifrarle in caso di furto). Circa 800.000 utenti americani dei servizi premium di LinkedIn hanno avviato una class action che è arrivata adesso a un accordo: un risarcimento di 1,25 milioni di dollari. In pratica, tolte le parcelle degli avvocati, per ciascun utente colpito spetta grosso modo un dollaro, magari qualcosina di più se il numero delle richieste di risarcimento è minore del numero dei partecipanti alla class action.
In altre parole, se un social network commette un errore grave nel custodire la password che protegge il vostro account e vi causa perdite di lavoro, di amicizie o di reputazione, affari vostri, e non importa se dice che “prende molto sul serio la privacy e la sicurezza dei suoi membri”. Tenetelo presente prima di affidare i vostri dati e le vostre comunicazioni a questi servizi.
Nessun commento:
Posta un commento
Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.