Cloudflare, una vulnerabilità mette a rischio milioni di siti internet

No comments

Cloudflare, la celebre azienda che si occupa di gestire la sicurezza e accelerare la distribuzione dei contenuti di milioni di siti web al mondo, è stata coinvolta in una perdita di informazioni.

Un errore di programmazione del suo servizio, scoperto dal ricercatore Tavis Ormandy di Google, ha innescato un’emorragia di dati, da settembre a febbraio, che ha coinvolto una parte significativa dei siti clienti del servizio Cloudflare.

Durante la navigazione vengono generati delle sessioni protette entro cui vengono trasmesse normalmente delle informazioni sensibili, come ad esempio cookie o password ma anche messaggi e dati di varia natura.

Cloudbleed, il leak di Cloudflare che scuote internet

La vulnerabilità sofferta da Cloudflare ha permesso che venissero trasmesse in chiaro e lasciate in rete residui di queste sessioni contenenti, ad esempio, messaggi privati di siti di dating e di chat, dati di servizi di gestione password, prenotazioni di hotel e molto altro.

Ormandy è riuscito ad accorgersi del problema perché una parte di queste informazioni fuoriuscite sono state salvate nella cache di motori di ricerca come Google.

Il numero di siti coinvolti, così come la quantità di dati, restano imprecisati, ma considerando i volumi di traffico gestiti da Cloudflare si pensa possano essere significativi.

Migliaia di siti e app fra cui Uber, FitBit, OkCupid e Medium risultano essere stati interessati: per comodità vi forniamo la lista non ufficiale aggiornata dei servizi coinvolti.

Fra le problematiche più significative per l’utente finale, oltre ovviamente alla possibile fuoriuscita di informazioni più o meno sensibili ad esso ricollegabile, c’è sicuramente la potenziale problematica che affligge le password degli account colpiti.

Sebbene non sia stato dimostrato che l’errore sia stato utilizzato effettivamente da qualche malintenzionato con scopi malevoli, è consigliabile modificare le password dei propri servizi.

Per ulteriori informazioni si rimanda alla nota ufficiale di Cloudflare sul problema, ormai ribattezzato Cloudbleed con riferimento a un’altra famosa falla di sicurezza, ossia Heartbleed.

Smart NationCloudflare, una vulnerabilità mette a rischio milioni di siti internet
Vai all'articolo

Nuovo attacco a Yahoo, oltre un miliardo di account violati

No comments

Nuovo scandalo riguardante una sottrazione di dati in casa Yahoo: esattamente come il precedente di qualche mese fa, siamo di fronte ad un nuovo problema per l’azienda americana.

Stando alle ultime notizie confermate, nomi, indirizzi email, numeri di telefono, date di nascita, password criptate e in qualche caso anche domande di sicurezza cifrate o in chiaro con le relative risposte sarebbero stati coinvolti in un colossale furto.

Il data leak coinvolge oltre un miliardo di account e balza al primo posto nella storia per quantità di informazioni sottratte.

Nonostante Yahoo confermi che tra le informazioni trafugate non ci siano password in chiaro, dati di carte di pagamento o di conti bancari, la situazione è estremamente problematica: il titolo in borsa ha reagito negativamente (-2%) e soprattutto si tratta di un nuovo durissimo colpo di immagine che avrà certamente gravi ripercussioni sull’accordo di acquisizione da parte di Verizon.

Lato utente, la precauzione da adottare al più presto per i possessori di un account mail con Yahoo! è quella di cambiare la password e non cliccare su link o scaricare allegati di mail sospette.
Inoltre è buona precauzione verificare che non siano state effettuate attività sospette e, magari, utilizzare il sistema Yahoo! Account Key che elimina la necessità di usare una password per l’autenticazione.

Se poi siete soliti usare la stessa password anche per altri servizi, è altamente consigliabile modificarla anche per i restanti servizi.

Il fatto inoltre sta creando dei contraccolpi in borsa, dove Yahoo ha perso oltre il 4 per cento mentre Verizon, il colosso che dovrebbe rilevare le attività di Yahoo, starebbe valutando uno sconto sul prezzo pattuito o addirittura esercitare una clausola di ripensamento circa l’affare.

Smart NationNuovo attacco a Yahoo, oltre un miliardo di account violati
Vai all'articolo

Vivi internet, al sicuro: l’iniziativa per la tutela della privacy digitale

No comments

Il tema della privacy online è molto caldo anche in relazione ai recenti scandali che hanno riguardato la diffusione di materiale a luci rosse.

Del resto, avevamo già parlato di come nell’era dei social network e delle condivisioni la privacy sia un problema sottistomato.
A tale riguardo, dal 15 ottobre al 20 novembre, Google intraprende una campagna di sensibilizzazione nelle città italiane per istruire le persone circa gli strumenti utili a tutelare la privacy digitale e la loro corretta adozione.

Tutelare la privacy digitale in pochi e semplici passi

Vivi internet, al sicuro, questo il nome dell’iniziativa, porterà i temi della sicurezza e della privacy digitali nelle principali piazze italiane, da Milano a Cagliari.

Il tour, in collaborazione con la Polizia Postale, Altroconsumo e Accademia italiana del codice di internet, partirà da Milano il 15 ottobre per toccare Cagliari, Napoli, Bologna e Roma, dove il 20 novembre si terrà la giornata conclusiva.

In ogni tappa sarà presente un bus marchiato Google a bordo del quale è possibile effettuare una valutazione della propria privacy elettronica, grazie alla funzionalità account personale di Google che consente di avere una panoramica di dove e come i propri dati vengono usati in Rete.

Verranno inoltre affrontanti diversi temi fra cui quello della privacy e sicurezza dei propri dati personali durante l’utilizzo di soluzioni cloud.
Ma anche come proteggere lo smartphone affinché, in caso di furto o smarrimento, i propri dati siano al sicuro.
Verranno inoltre date indicazioni su come scegliere una password robusta o ancora a quali accorgimenti stare attenti quando si compra online.

Infine, a chi completerà le attività proposte a bordo del bus verrà regalato un kit contenente gadget e istruzioni semplici su come proteggere la propria identità digitale, sia a casa che in viaggio.

Il calendario completo è disponibile sul sito internet Vivi internet, al sicuro.

Smart NationVivi internet, al sicuro: l’iniziativa per la tutela della privacy digitale
Vai all'articolo

Libero Mail, violato il database utenti

No comments

Libero è uno dei brand più conosciuti nella internet italiana.
Attivo dal 1999, appartiene ad ItaliaOnLine, una società internet nata dalla fusione per incorporazione di Italiaonline S.p.A. in SEAT Pagine Gialle S.p.A. avvenuta nel giugno 2016.

La storia di Libero risale al 1994, quando, con il nome di ItaliaOnLine (non a caso riutilizzato per la recente incorporazione) era uno dei primi portali internet italiani che erogava servizi di accesso di rete, posta elettronica e, qualche anno più tardi in collaborazione con Olivetti e l’Università di Pisa, il primo motore di ricerca in lingua italiana chiamato Arianna.

Oggi Libero rimane un portale internet che continua a offrire caselle di posta elettronica gratuita ed è il primo in Italia per numero di caselle mail attive (oltre 8 milioni).
Ed è proprio qui il problema, la sicurezza di questi milioni di caselle mail attive.

Libero Mail: violata la sicurezza delle caselle di posta elettronica?

Stando al blog Oversecurity, uno dei riferimenti per quanto riguarda la sicurezza in rete, a cui si aggiunge la conferma da parte di Libero (di seguito l’immagine tratta dal sito Oversecurity), Libero Mail ha subito un attacco e il suo database è compromesso.

comunicato Libero Mail

Libero Mail garantisce che le password risultino criptate e quindi non visibili a coloro che hanno perpetrato l’attacco.
Tuttavia, considerando che in altri paesi per servizi e situazioni analoghe si è scoperto che la conservazione delle password avveniva in plain text (in chiaro, e quindi priva di qualsiasi sistema di criptazione), è caldamente consigliabili modificare immediatamente la propria password.

Non solo, come nel caso del leak degli account Dropbox, invitiamo gli utenti dei servizi internet a mantenere sempre distinte le password di accesso per ciascuno dei servizi utilizzati.

Inoltre, suggeriamo di effettuare una verifica del proprio account su Haveibeenpwned un servizio erogato da Troy Hunt, un esperto internazionale di sicurezza, che consente in modo gratuito a chiunque di verificare se uno dei propri account utilizzati su internet è stato compromesso o coinvolto in una falla di sicurezza.

Smart NationLibero Mail, violato il database utenti
Vai all'articolo

Dropbox, leak di oltre 68 milioni di account

No comments

Negli ultimi mesi il problema delle cyber-intrusioni è estremamente sentito dagli utenti ma soprattutto da coloro che erogano servizi internet: in ordine di tempo, le violazioni più clamorose sono state subite da MySpace (360 milioni di account violati e 427 milioni di password messe in vendita), LinkedIn (164 milioni di utenti colpiti) e Tumblr (65 milioni di password compromesse).
Ora anche Dropbox, il popolarissimo servizio di archiviazione file in cloud, si aggiunge alla lista delle vittime eccellenti.
Infatti è stato notificato dall’azienda un leak (sottrazione) del proprio database di 68 milioni di account risalente alla metà del 2012: per oltre 4 anni tutti coloro che non avevano cambiato la password d’accesso sono stati quindi a rischio.

Dropbox: il leak non riguarda direttamente le password

Durante questo periodo di tempo i criminali informatici hanno potuto provare a ricavare le password d’accesso dai dati a loro disposizione, ossia dall’hash.

Un codice hash è un codice a lunghezza fissa generato da una funzione matematica non reversibile che, nella fattispecie, serve all’autenticazione in quanto identifica in modo univoco la password.
Sebbene teoricamente dall’hash non sia possibile identificare facilmente le informazioni a cui è riferito (e quindi nel caso di specie la password) nella pratica il rischio c’è ed è significativamente aumentato in occorrenza di password più deboli come ad esempio 123456.

Secondo i portavoci dell’azienda comunque la violazione non ha portato ad accessi indesiderati ad alcun account ma è stato richiesto, a titolo precauzionale, a tutti coloro che non hanno cambiato la password dalla metà del 2012 di aggiornarla al primo accesso.

Quanto accaduto deve suggerire alcuni accorgimenti che consigliamo di seguire prontamente anche per altri servizi:

  1. Per ogni servizio utilizzato usare una password diversa in modo che, qualora quell’account risulti compromesso, non vi sia il rischio potenziale che anche altri servizi siano accessibili da parte di malintenzionati.
  2. Abbandonare le password facilmente individuabili (es. 123456) e impiegare password di 8 o più caratteri possibilmente miste lettere e numeri, utilizzando maiuscole e minuscole e, possibilmente, anche simboli come ad esempio %, & o $.

Ovviamente è buona norma tenere un elenco delle password in un file di testo o excel, al sicuro all’interno di un’area protetta e, possibilmente, non accessibile dal web.

Smart NationDropbox, leak di oltre 68 milioni di account
Vai all'articolo