Sta facendo il giro del mondo, in queste ore, la notizia della pubblicazione di un ricco archivio di indirizzi e-mail relativi ad utenti fruitori del servizio YouPorn. Sul noto sito web Pastebin.com, frequentemente utilizzato dai programmatori per pubblicare porzioni dei sorgenti delle applicazioni software o per ospitare stralci di “testo puro” da “mettere a fattor comune” con altre persone, è apparso un elenco composto da 6.433 indirizzi e-mail di persone che, verosimilmente, si sarebbero collegati al sito che permette la condivisione di materiale pornografico.
Da dove sono stati reperiti questi indirizzi e-mail unitamente alla password usata per ciascun account? I responsabili di YouPorn si sono affrettati a dichiarare che la sottrazione dei dati non sarebbe avvenuta sui server della società bensì sulle macchine, gestite da terzi, che sovrintendono il funzionamento della chat. Chi avesse utilizzato la “YP Chat” potrebbe essere quindi caduto nelle maglie di un gruppo di aggressori informatici che, una volta violati i sistemi, non hanno esitato a rendere pubblico il materiale raccolto durante la razzìa.
Brad Black, uno dei portavoce di YouPorn, punta il dito contro le scarse misure di sicurezza che erano state implementate sul servizio “YP Chat” citando la memorizzazione dei log giornalieri come testo in chiaro (senza quindi usare alcun algoritmo crittografico) all’interno di una directory pubblica, non protetta.
Per Black la società si è immediatamente attivata per bloccare la “YP Chat” e ribadisce che l’attacco non avrebbe interessato gli oltre 4,5 milioni di utenti di YouPorn ma solamente alcune migliaia che hanno fatto uso della chat (il comunicato ufficiale è consultabile a questo indirizzo).
I principali esperti nel campo della sicurezza sono comunque concordi nello stigmatizzare quanto accaduto. Anzi, Graham Cluley (Sophos) cita un post di Anders Nilsson che, nella sua analisi, traccia scenari ancor più sconfortanti: stando all’esperto le password trafugate sarebbero addirittura oltre un milione. Quanto emerso sinora sarebbe quindi solo la punta dell’iceberg: in altre parole, i 6.433 account “trafugati” sarebbero solamente una piccola porzione del totale. Nilsson spiega, tra l’altro, che le informazioni facilmente individuabili su Pastebin.com possono essere sfruttate per identificare chi fruisce del materiale pornografico, con tutte le conseguenze in termini di reputazione che ciò può comportare.
Un dato altrettanto preoccupante riguarda le password scelte dagli utenti: Ashkan Soltani, consulente e ricercatore indipendente, si è “divertito” a comporre una sorta di “nuvola” delle parole chiave più frequentemente usate dal campione di utenti preso in esame. Cliccando qui tutti possono accorgersi di quanto il risultato sia “incoraggiante”. Da parte sua, invece, Nilsson afferma di aver analizzato oltre 3 milioni di righe facenti riferimento ad account “trafugati”. Di esse, sempre secondo il ricercatore di ESET, sarebbero poco più di 838.000 le voci “uniche”, quindi non ripetute più volte nel documento (ved. questa pagina).
Stando alle statistiche elaborate da Nilsson, quasi 73.000 utenti userebbero la password “123456”, quasi 19.000 persone la password “123456789”, ben 13.000 “12345”, 9.200 “1234”, quasi 8.400 il termine “password”, circa 6.200 “qwerty”. E ci viene spontaneo citare il nostro articolo “L’importanza di scegliere password lunghe e complesse“.
Per Alexa, YouPorn sarebbe oggi il 96esimo sito web più visitato a livello planetario.