Account hackerati: database da record e la falla di Facebook e Twitter

26 Novembre 2019 104

Dati rubati, ancora una volta. Di nuovo ci troviamo a riportare notizie di esposizione di informazioni personali, riguardanti 4 miliardi di account sparsi per il mondo: numeri addirittura superiori rispetto a quelli che hanno coinvolto Yahoo nell'attacco del 2013, in cui tutti gli utenti furono hackerati. Non solo: parallelamente, anche Facebook e Twitter sono stati colpiti da un caso analogo, questa volta relativo ai dati (personali) resi visibili a sviluppatori di terze parti. Si tratta ovviamente di due eventi differenti nella loro natura, nelle conseguenze e, cosa non di poco conto, nel numero di persone coinvolte.

4 MILIARDI DI ACCOUNT COLPITI

4 miliardi di account, si diceva, per 4TB di materiale reso, di fatto, pubblico. Si tratta di uno dei casi più eclatanti della storia, che stando alle prime stime di Data Viper avrebbe coinvolto almeno 1,2 miliardi di persone.

  • Numero di persone coinvolte: 1,2 miliardi
  • Numero di account coinvolti: 4 miliardi
  • Dimensione dei file trovati: 4TB
  • Contenuti rubati: nomi, indirizzi mail, numeri di telefono, informazioni personali pubblicate su Facebook e LinkedIn
  • Provenienza dati: 2 distinte società di "data enrichment" (arricchimento dati: da una singola informazione su una persona - nome, mail - si raccolgono ulteriori dati per "arricchire" il profilo della persona stessa, fino a conoscerne stile di vita, gusti, movimenti, ... Tali dati vengono poi condivisi e venduti alle aziende affinché queste abbiano informazioni sui potenziali clienti)

Tutti i dati sono stati trovati all'indirizzo http://35.199.58.125:9200, catalogati sotto le due sigle PDL e OXY, riconducibili a due distinte fonti che hanno fornito i dati stessi. Stando alle prime valutazioni, PDL altro non sarebbe che People Data Labs, società di data enrichment che ha raccolto dati di 1,2 miliardi di persone traendoli soprattutto da LinkedIn.

Un estratto del database disponibile sul server

Curiosamente, il server scovato sembrerebbe non appartenere a PDL: il primo è ospitato su Google Cloud, mentre PDL API è su AWS. Nonostante ciò, con un escamotage Data Viper è riuscita a far ricondurre il database ospitato sul server alla società di data enrichment incriminata.

L'altra azienda coinvolta è OXY, ovvero OxyData.Io: in questo caso, sono 380 milioni gli account compromessi, i cui dati sarebbero stati in larga parte prelevati da LinkedIn. Anche in questo caso, il server non sembrerebbe appartenere alla società.

Le ricerche sui responsabili proseguono, ma al momento si è fermi a una domanda senza risposta? Si è trattato di un furto "voluto" o di una mala gestione dei dati da parte delle società di arricchimento dati?

FACEBOOK E TWITTER

Entrambi i social network hanno annunciato ieri che sono stati esposti dati di centinaia di utenti "dopo che questi hanno sfruttato i loro account per effettuare il log in su alcune app Android scaricate da Google Play". In questo caso, la "colpa" non sarebbe da attribuire né a Facebook, né a Twitter, bensì ad un SDK denominato One Audience che forniva agli sviluppatori di terze parti accesso ai dati personali.

Questo problema non è dovuto ad una vulnerabilità del software di Twitter, ma piuttosto al mancato isolamento tra gli SDK all'interno di un'applicazione. Il nostro team di sicurezza ha determinato che l'SDK dannoso, che potrebbe essere embeddato all'interno di un'app mobile, potrebbe potenzialmente sfruttare una vulnerabilità nell'ecosistema mobile per consentire l'accesso alle informazioni personali (e-mail, username, ultimo tweet) e utilizzare l'SDK dannoso. Sebbene non abbiamo prove che suggeriscano che questo sia stato utilizzato per prendere il controllo di un account Twitter, è possibile che una persona possa farlo.

Twitter sta avvisando gli utenti colpiti, e afferma di aver già contattato Google e Apple per cercare di risolvere la vulnerabilità. E' stata coinvolta dunque anche l'azienda di Cupertino, anche se fino a questo momento le informazioni che si hanno a disposizione riguarderebbero solamente l'ambiente Android.

Battery Phone a meno di 150€? Xiaomi Mi A2 Lite, in offerta oggi da Digitmania a 144 euro oppure da ePrice a 186 euro.

104

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Andrej Peribar

E posso capirlo.

Ma Mi era sembrato che sostenessi che "farneticavo"

:)

sopaug

Sì ma la media degli utenti cambia password deboli o medie con password deboli.

Andrej Peribar

Non è una mia ipotesi è una cosa che non puoi sapere.
Se ti hacherano l'account o come in questo caso si subisce un attacco o una vendita mica ti esce scritto "siamo passati"

Ecco perché si cambia.

Quello che dice Microsoft l'ho già dibattuto con l'altro utente che l'ha postato, con la stessa osservazione.

Ossia che da statistica le persone che si scocciano del cambio password obbligatorio scelgono password semplici.
Cosa che lo rende inutile.

Non dice che sarebbe meglio non cambiare una forte con una forte.

sopaug

certo che non ha alcun senso. Ma matematicamente ha sempre più senso della tua ipotesi dell "effettivamente non lo sai se qualcuno l'ha sgamata e la sta usando a tua insaputa".

Io mi trovo pienamente d'accordo con il consiglio di microsoft conoscendo gli utenti medi.

ninuzzo

Non esiste quell'indirizzo

Andrej Peribar

Ma che stai dicendo :)

Dopo un certo tot la devi cambiare le perché effettivamente non lo sai se qualcuno l'ha sgamata e la sta usando a tua insaputa.

La questione dell'attacco brute force che l'ha già "tentata" non ha alcun senso

PistacchioScemo

Li hanno già tutti

sopaug

e perchè? Perchè qualcuno mi sta facendo un bruteforce e io vado a scegliere una password che lui ha già tentato? Perchè questa è l'unica giustificazione matematica a quanto scrivi.

Se le password vengono correttamente conservate non c'un valido motivo per cambiarle (vedi le affermazioni di ms a riguardo)

sopaug

esattamente quello a cui mi riferivo sopra. Le password devono essere LUNGHE, non astruse.

sopaug

se il server non ha una protezione da bruteforce la colpa è del sysadmin (o di chi non gli da i soldi per implementarlo) non della password debole. Anche perchè un bruteforce trova anche una password cambiata con regolarità.

Peraltro ci sono fior di studi (microsoft) che spiegano perchè il cambio password ricorrente è più dannoso che utile tenendo conto della componente umana.

Morale: sceglietevi BUONE password, DIVERSE per servizio, e non ammazzatevi troppo per cambiarla.

fabrynet

Grazie per la segnalazione del sito e del tuo prezioso contributo come sempre.

Federico

È esattamente ciò che penso io.
I dati che si mettono su un Social vanno intesi come pubblici, assurdo che la gente si lamenti per la perdita della privacy quando affida qualcosa di riservato ad un luogo che per definizione è quanto di meno riservato possa esistere.

ciro mito
Raphael DeLaghetto

malattia e cura se non li ha scritte su FB non devono saperle!
se no è furto di dati!

ciro mito

Difficile soprattutto se non si legge con attenzione

jacksp

Ti faccio spedire un carico di 1000 falli di gomma da AliExpress

CavalcaStruzzi

In Italia lo SWATting è fattibile?

Tetifu Guohog

Buone le tic tac

mando subito un po' di missive senza bollo

Andrej Peribar

Se utilizzi il tag code i link non vengono moderati

Andrej Peribar

Quel servizio fa esattamente quello che io ho detto.
Aggiunge un altro strato.
Proprio per non farti loggare con le credenziali di facebook

ciro mito

Volete i miei dati ?
Ciro Mito
Piazza Starnese 18
80121 Napoli

Agostino Caruso

prima risultato su google -> varonis . com / blog / what-is-oauth /

UnoQualunque

Beh allora non è una "novità". Avevo letto di una ricerca dove si erano presentati a casa di uno sconosciuto qualunque raccontandogli vita morte e miracoli su di lui (comprese malattia e cura in corso). E queste sono solo informazioni "trapelate", chissà quanta roba hanno in casa Google e Facebook.

ghost

Scusa sono stato io ho premuto "find password" dal mio programma per hacker stile serie tv

UnoQualunque

No, non vanno a leggere dal DB criptato, ma con un sistema automatico provano a fare l'accesso come se fosse l'utente che continua a sbagliare password. Prima o poi la combinazione corretta la trovano.

rellafiezz

se le immagazzini con sha-1 certo che sì...

UnoQualunque

Se fanno un brute force e il server non si protegge da questo tipo di attacco prima o poi la password la trovano.

Moveon0783 (rhak)

Ma ti sei documentato cosa? Quali statistiche? Esistono statistiche che dicono che chi usa Facebook è uno s7upido? Ma va là...
Però su una cosa hai ragione: l’età media si sta alzando e i giovani si iscrivono sempre di meno. E sai perché? Perché non puoi pubblicare le fotine con le cosce di fuori o mentre ti sbronzi ammerda se tra i tuoi contatti c’è tuo padre.
Quindi se ci pensi, dal punto di vista della qualità dei contenuti l’arrivo dei cinquantenni non è stato del tutto un male.

Raphael DeLaghetto

Accorpamento

Raphael DeLaghetto

O tiktak?

CAIO MARIOZ

Sono stato hackerato nel caso di 500px
Entrambi i siti mi danno il medesimo risultato

Ho provveduto a cancellare l’account e a cambiare alcune password simili in altri account

rellafiezz

in realtà è un problema relativo perchè se la password è immagannizata come si deve non serve necessariamente sceglierla troppo complessa o troppo lunga

Mistizio

Se il GDPR europeo non permette la vendita di dati, questo è l'unico sotterfugio disponibile per vendere i dati....

rellafiezz

poveri vecchi....il futuro è tiktok!

rellafiezz

donne!!! è arrivato er fenomeno!!!

Non hai capito una mazza.

Mi faccio sempre grasse risate con te. Sei forte.

Andrej Peribar

Che servizio?!

In generale cmq usare i login intrecciati rende la tua sicurezza una "catena" ossia fragile come il suo anello più debole.

Perché ogni cosa ha una "priorità" di sicurezza che ti gli attribuisci.
Non difendi tutto con la stessa attenzione, anche perché la sicurezza ha cmq un costo in termini di tempo.

Ne consegue che sei esposto a cascata.

Invece bisogna imparare ad implementare la sicurezza a strati.

Tipo un castello medioevale.
Fossato, Mura, torrioni, torce, arcieri, guardie, guarnigioni...

Esempio, io non sono interessato a disqus, gli attribuisci una bassa priorità, mi faccio una mail slegata da tutto il resto e uso un Nick e non il mio nome.
Se mi compromettono l'account, è più difficile risalire al resto.

Perché tutto è violabile.
Si parte da questo concetto di base.

ghost

Tu scherzi ma le varie foto porno di pubblicità arrivano da cose così

Aster

Tutto bene!

GTX88

Mah dipende solo da quanto è sicuro il servizio

Ginomoscerino

infatti parlo di sicurezza base, saper evitare phishing o truffe e gestire le password principalmente

"dovrebbe sapere che con una password debole"

la password deve essere imposta robusta dal sistema:
provi a mettere "cammello02", un algoritmo locale verifica che è una parola del dizionario ed un numero e quindi te la boccia.

la stessa password riutilizzata è una delle poche cose che deve sapere l'utente insieme al non scriverla mai se non nel sito/app ufficiale.

UnoQualunque

Beh l'antimalware fa parte appunto della roba tecnica che come dici te l'utente non è tenuto a sapere. Ma come sa che se non mette l'antifurto o lascia la porta aperta potrebbero rubare facilmente in casa sua, dovrebbe sapere che con una password debole, o la stessa password utilizzato ovunque o senza doppio passaggio, sicuramente prima o poi accadrà qualcosa di brutto.

no è roba treccina: e infatti l'antimalware adesso ti viene di default col sistema operativo (Windows) e si aggiorna senza chiederti nulla (così come gli update di sicurezza sono di fatto imposti).
Questa è la soluzione ingegneristica.
Quello che deve imparare l'utente è non cedere il proprio sistema di autenticazione a qualsiasi servizio.

Fai conto che nella PA le password hanno una scadenza dettata dalla legge.
io fornivo loro software personalizzato e dovevo farle scadere, se non sbaglio, dopo 90 giorni dal primo utilizzo.

UnoQualunque

Beh però la gente comune sa che se vuole prevenire i furti in appartamento deve mettere un antifurto. Nell'informatica è uguale, puoi mettere in piedi il sistema più protetto del mondo, ma se poi l'utente lascia la porta aperta o la ferma con un sasso, ci vuole pochissimo per entrare.

Andrej Peribar

Semplicemente molti non sanno che sono ampiamente esposti e quindi credono sul mio nessun problema

UnoQualunque

Non ti dico le litigate che faccio ogni volta in azienda quando scade la password alle persone. "Perchè scade la password?" "Che str0 nz...ta sta complessità! Le mie solite password non vanno mai bene!" quando avevo detto che non devono usare le loro password private al lavoro mi hanno preso per pazzo. Oppure non ti dico le caz ziate che mi arrivano quando ho un dubbio su un account e gli forzo il cambio password. Io mi chiedo, in azienda ci sono io che li tengo per mano come bambini, ma nel privato, che ora mai in digitale hanno tutto e di più, com'è possibile che non gli sia successo ancora niente di grave? Stiamo proteggendo i nostri dati con delle porte di legno davanti a dei carri armati.

L'identikit degli smartphone TOP di gamma 2020: più cari, più grandi, 20:9 e 5G | Video

Motorola Razr 2019: un tuffo nel passato e uno sguardo al futuro | Anteprima Video

Recensione Google Pixel 4 e confronto con iPhone 11 Pro

Xiaomi Mi Note 10: live batteria (5260 mAh) | Fine ore 22:45 con il 14% rimanente