Ok, non lo fai apposta, solo che non ce la fai. Bisogna aumentare la sensibilità collettiva, questo significa parlarne ovunque. Un sito in più, non basta, ma è meglio di uno in meno.

L'hanno chiuso, come ho scritto a Dario, leggendo su twitter non era una GET anche se la chiamata era una getuserdata ma dicono che era una post che non voleva nessun parametro ma che restituiva l'intero database.https://twitter.com/R0b1nR00t/status/1343970887171792899

Ho visto il link della chiamata REST e c'era un getuserdata. Da quello che ho letto su twitter non era una vera GET, era una POST ma che non chiedeva alcun parametro ne autenticazioni, mandavi la richiesta con un qualsiasi programma per lavorare con le REST API e ti restituiva l'intero database

mi spieghi meglio? Una getall o getUser singolo? Cosa gli andava passato nel secondo caso? Non certa un Autenticazione?

Io nel mio piccolo l'ho fatto: passato a Fastweb il giorno stesso che è uscita la notizia.

Lo hacker russi. O China?

Hai un link in merito alla GET che restituisce liberamente l'intero DB? Mi piace sempre leggere di queste cose, nel tecnico.

Aspetta... ma anche gli altri sono stati vittima di hacker, non solo noi!

non ho capito la tua domanda, keepass solitamente si usa con un database locale.

il problema è che quelli che non capiscono sono le nuove generazioni, quelle cresciute con l'idea che internet siano i social, da un "anziano" me lo potrei aspettare.

A proposito di keepass che uso anche io e mi ci trovo bene, non c'è un gestore più aggiornato ma che non si basa sul cloud? Tutti gli altri gestori mi chiedono di creare un account ma ne vorrei uno come keepass che è "on-prem" magari per avere un database condiviso sfrutta le potenzialità di sharepoint o altri cloud pubblici. Comunque, anche se funziona bene, bisogna mantenerlo aggiornato e quindi richiede un minimo di "impegno". Se le persone non capiscono la delicatezza della sicurezza informatica (sono nella tua stessa barca, lavoro come IT interno e ho perso le speranze. Anche se siamo nel 2021, la gente ha le stesse capacità informatiche di 15 anni fa), non perderanno mai del tempo con dei gestori per le password.

La multa non basta, vorrei vedere tutti gli utenti invece di sostituire la SIM migrare su un altro operatore, che muoiano pure.
Chiaro, Vodafone non fallirà, ma sarà costretta a chiudere l'operatore virtuale.

ma cosa centra l'OS.
Tanto ormai tutti i programmi sono sul web...quindi ti arriva la mail fake, ti viene presentato un sito simile, metti le credenziali pensando sia quello vero e sei fregato comunque.

Sta guerra tra os non ha più senso da quando ci sono le app web per ogni cosa..

Mamma mia ci sono rimasto di merd... quando ho letto come hanno fatto ad entrare in possesso del database degli utenti, ma nemmeno uno stagista farebbe un errore del genere. Lasciare aperta una GET che restituisce l'intero database è da galera. Mi sa che grazie al GDPR gli arriverà una multa che se la ricorderanno per un bel po di anni.

https://uploads.disquscdn.c...

In azienda vedo di quello cose da che mi fanno rabbrividire. Sempre i solti che abboccano ad ogni phishing che gli arriva. Gli ho attivato l'MFA e hanno pure il coraggio di lamentarsi (uno addirittura, oltre a rispondere al phishing, aveva dato anche conferma tramite l'app MFA, assurdo). Attacchi di social engineering che vanno quasi a buon fine se non perchè fortunatamente, le policy dell'amministrazione prevedono di mettere sempre in CC alcune persone che si accorgono che l'indirizzo al quale si sta rispondendo non è quello che ci si dovrebbe aspettare e bloccano al pelo l'invio di pagamenti tramite IBAM non corretti, richieste per inserire la password dell'amministratore perchè gli è "comparsa una maschera", andando ad indagare poi si scopre quasi sempre che stavano installando chissà cosa a loro insaputa perchè cliccavano a caz zum sui vari link. Meno male che i PC in azienda sono sotto controllo, non mi immagino cosa fanno nel privato. E l'Italia vuole investire parte dei soldi UE nella trasformazione digitale? Queste persone si meritano di fare ore e ore di coda per accedere ad ogni servizio offline. Se una 50ina di anni fa si diceva che l'alfabetizzazione era scarsa e si erano creati addirittura programmi TV per diffonderla, ora nel 2021 siamo alla prese con un nuovo tipo di analfabetismo che è molto diffuso, quello del non riuscire a destreggiarsi con la tecnologia.

Ma quale Windows, la colpa è del cervello. E aggiungo che per colpa del cervello di chi non si applica quel minimo base per capire come funzionano le piattaforme dove opera, i produttori ci tolgono funzioni più evolute dai sistemi operativi per farli diventare a prova di utonto (vedi recente discorso del pannello di controllo, che è una funzione di Windows per la quale basta un neurone per saperla usare, ma allo stesso tempo un'impresa titanica conoscerla e saperla gestire per l'utonto incapace e svogliato).

A me non ha chiesto

Se mi creo una backdoor da solo mettendo un libero accesso remoto all'intero database dei miei clienti sono vittima di hacker e pandemia, ho le mani legate, non posso farci assolutamente nulla.

Semi-OT: Ma solo a me Amazon oggi ha richiesto il cambio della password per motivi di sicurezza non meglio specificati?

i motivi per cui non l'adottano te li ho gia spiegati e non posso farci niente, come detto non tutti hanno la capacità di comprendere il pericolo. Io parlavo in ambito lavorativo, anche io nel privato ho "diffuso" piu facilmente il verbo

Voglio vedere l'untente medio installare i driver Nvidia...

Sul fatto che molti non ascoltano e pensano che tanto a loro non può succedere ti do ragione, ma se ti occupi di queste cose per lavoro e in anni di attività sei riuscito a far convincere una sola persona ad usare un password manager forse sbagli qualcosa tu.
Io sono uno sviluppatore quindi non mi occupo nello specifico di queste cose ma tra consigli dati a clienti, colleghi e amici ne ho convertiti molti di più.

Anche mio cuggggino riuscirebbe ad hackerare gli altissimi standard di sicurezza delle aziende italiane

No, per quello c'è il Garante della Privacy e il GDPR

Davvero?

se la persona ha la capacità di recepire le informazione che passi, se pensano che a loro non succederà mai, che "tanto cosa vuoi che rubino" ecc puoi formarle per anni ma non saranno mai in grado di capire le minacce.
io faccio questo lavoro da 20 anni quasi e ho girato diverse società, sia grandi che piccole e quel tipo di persona c'è ovunque. Potrei farti centinaia di esempi simili.
Per concludere ti dico che da anni sponsorizzo l'uso di keepass e la generazione randomica delle password, ho fatto la formazione su come usarlo e sai quanti lo hanno adottato oltre a me, 1 persona!

Be però se la persona usa la stessa password su tutti i servizi e per giunta è pure semplice vuol dire che formata non lo è stata proprio. La formazione serve proprio a evitare questo genere di errori in prima battuta.

La colpa é di Windows, passate a Linux che é gratis e sicuro.

sono sicurissimo che le aziende leggeranno tutte questo articolo di HDblog e poi correranno ad investire gran parte del loro budget in sicurezza informatica.

Hai ragione, scusa!

La boiata del giorno.

O vuoi solo mandarla in caciara, oppure non ci arrivi che il punto è rendere le aziende consapevoli della necessità di investire in infrastrutture di qualità.

allora guarda solo quella scena :) il resto è un calvario :)

Come se gli le attacchi registrati, fossero avvenuti tramite il telefono di un dipendente. Non siamo mica su watch dogs.

L'ho citato solo per quella scena. :\

film orribile, consiglia qualcosa di meglio..hackers, angelina jolie giovanissima e jonny lee miller (sherlock e sick boy)

Finché abbiamo fior di dipendenti che comprano huawei e cinesate varie si può dedurre quanto ne sanno in fatto di sicurezza

Furrrrba!
:D

Un esempio?
Vedi il film 'Blackhat'.
C'è una scena di puro social hacking.
;)

Se poi si conta che molti attacchi in realtà sfruttano sistemi di protezione ridicoli

tu puoi formare le persone quanto vuoi ma se usano la stessa password per tutto e solitamente è riconducibile a dati personali che distribuiscono in giro senza ritegno non c'è speranza...poi ci sono i geni che la scrivono sui post it attaccati al monitor e si fanno i selfie alla scrivania....

Oggi è arrivata l'email da DeaScuola, anche loro sono stati violati, spero solo che i dati dei minori non vengano divulgati.

Avevate dubbi?

mamma mia che paura!
corro a nascondermi sotto il letto col mio cappellino di stagnola!

Vorrei meravigliarmi, ma calcolando che i più frequenti attacchi hacker sono quelli che si basano sull'onnipresente e più sfruttato punto di debolezza dei sistemi informatici non c'è neanche da sorprendersi troppo. In caso non lo sappiate si tratta dell'utente, l'essere umano è il punto più facile da bucare in un sistema informatico, ergo se non viene formato in materia e/o non viene istruito a gestire i più semplici attacchi "informatici" (email con "clicca qui" o che ti dicono "iL tUo AcCoUnT aMaZoN è StAtO bLoCcAtO!11") allora c'è poco da dare la colpa alla "ciber security".
Non è neanche un problema di intelligenza: siamo umani, si può cascare in un raggiro, per questo diventa importantissimo preparare il personale all'evenienza con esempi concreti e corsi aziendali veri.

io uzo signalh e sono aker!

Su questo sito ho preso dei vairus.