Un nuovo gruppo di hacker che si fanno chiamare "Swastika Team" hanno pubblicato su Pastebin quello che sostengono essere i nomi utente e le password di oltre 10 mila account di Facebook. Va notato che l'agenzia per le pubbliche relazioni di Facebook in Gran Bretagna ha fornito a Trend Micro la seguente dichiarazione: "Questo non rappresenta un hack di Facebook o di qualunque dei profili Facebook. I nostri esperti di sicurezza hanno esaminato questi dati e abbiamo trovato un insieme di combinazioni di e-mail e una password che non sono associate a qualsiasi account Facebook attivo".
Il team della "svastica" (anche se rifiuta l'etichetta di hacker e hacktivist, preferendo invece il nome di "combattenti per la libertà") è un nuovo arrivato sulla scena hacking, dopo aver annunciato il suo "lancio" solo sei giorni fa. Anche se hanno pochi tweet al loro nome hanno già causato preoccupazione la pubblicazione delle tabelle del database e le credenziali dell'utente rubate dai siti dell'Ambasciata indiana in Nepal e il governo del Bhutan, a quanto pare da un attacco SQL injection.
L'ultima divulgazione di ciò che essi sostengono, cioè delle più di diecimila credenziali degli utenti Facebook è senza contesto e senza alcuna indicazione dei mezzi con cui sono stati sottratti. Gli stessi messaggi sono già stati rimossi da Pastebin ma Rik Ferguson, ricercatore e tra i magggiori esperti di minacce informatiche, è riuscito a dare uno sguardo su questo successo
 |
| Furto delle credenziali degli account di Facebook |
Gli account utenti compromessi provengono da tutto il mondo, e da una rapida occhiata attraverso la lista delle password associate viene mostrato che la maggior parte degli utenti interessati non utilizzano password complesse, essendo molte semplicemente una derivazione del nome utente, una squadra di calcio preferita o una password numerica breve. L'effetto continuo di tale compromossione su larga scala può essere disastroso per utenti interessati, in particolare se la password è condivisa per più account.
Ciò può portare alla compromissione degli account di posta elettronica della vittima, che può fungere da grimaldello per molti altri servizi online, come qualsiasi procedura di reset password che normalmente passa attraverso e-mail del proprietario dell'account di posta in arrivo per la verifica. Riprendere il controllo di un account compromesso può essere un processo costoso e richiede tempo, come spiega Rowenna Davis a Guardian Uk, giornalista e vittima recente.
 |
| Rowenna Davis |
"Tutto è cominciato quando il mio telefono è impazzito nel mezzo di una riunione cruciale. Circa 5.000 contatti avevano ricevuto una mail dal mio account dicendo che ero stata bloccata da uomini armati a Madrid. - racconta Davis - I miei amici di Internet mi hanno inviato dei messaggi per dire che il mio account era stato violato, mentre i più anziani e gli amici più vulnerabili volevano sapere dove inviare i soldi. Secondo la storia, il mio cellulare e le carte di credito erano state rubate ed avevo disperato bisogno di denaro. C'era un numero da chiamare per raggiungermi in albergo - presumibilmente a pagamento - e un account Western Union era stato istituito a mio nome per collegare un trasferimento. Improvvisamente si viene colpiti da una bomba organizzativa - che cade su quello che stai facendo; congelare il vostro conto in banca; rispondere alle chiamate in ansia; ultimi messaggi; perdere scadenze di lavoro; irritare i boss; ripristinare tutte le e-mail basati su password; dimenticare di pagare le fatture; irritare gli amici che pensano che li stai ignorando. La realizzazione che l'account di posta elettronica è il nesso del mondo moderno. E 'collegato a quasi tutto della nostra vita quotidiana, e se qualcosa va storto, si diffonde. Ma l'effetto più grande è psicologico. Ad un certo livello, la vostra identità è tenuta in ostaggio..."
"Non è mai una buona idea usare la stessa password in più siti Web, quindi cercate di averne una unica per ogni sito che si usa. Anche se questo può sembrare complesso e impossibile da ricordare che vi è modo semplice raggiungere questo obiettivo. Creare una password complessa usando lettere maiuscole e minuscole, numeri e caratteri speciali come $%&!. Escogitare un modo per differenziare la password per ogni sito che utilizzate, ad esempio mettendo la prima e ultima lettera del nome del sito web all'inizio e alla fine della vostra password iniziale complessa, rendendola unica e facile da ricordare", spiega Ferguson. La sicurezza delle password dipende dalle domande per resettarle, questo è anche uno dei modi più comuni per rompere un account".
"Se viene chiesto di fornire le risposte alle "domande di sicurezza" esaminare se le risposte sono davvero sicure. Sicure vuol dire che siete l'unica persona che può rispondere alla domanda. Se esiste la possibilità di creare le proprie domande, utilizzatela. Se siete obbligati a rispondere a più domande standard come "prima scuola", "primo animale" o "prima auto" ricordate che la risposta non deve essere la verità, deve essere solo qualcosa che si può ricordare. Facebook afferma che i dati sottratti dagli hacker sono un elenco di user e password non riconducibili agli account attivi sul social network e Ferguson non ha verificato se le credenziali postate sono legittime (per motivi di privacy), ma per sicurezza ha avvisato gli utenti in maniera che possano proteggere i loro account.
Ma scusami come hanno fatto a violare gli account?
RispondiEliminaCon SQL Injection è impossibile, facebook non ha la vulnerabilità a questo attacco.
Hai ragione, infatti l'SQL Injection non si riferisce a Facebook, ma ai siti dell'Ambasciata indiana in Nepal e il governo del Bhutan
RispondiElimina