Circa 2 milioni di credenziali d’accesso a siti web come Google, Facebook, Twitter e Yahoo sono state pubblicate online. Autori della scoperta sono i tecnici di Trustwave che hanno portato a galla il risultato della pesante “razzia” esaminando un server situato in Olanda. Tale macchina veniva utilizzata da un gruppo di criminali informatici per controllare una vasta schiera di sistemi infettati da malware ed entrati a far parte (all’insaputa dei legittimi proprietari) della botnet “Pony“.
Le credenziali, sottratte sui sistemi degli utenti di mezzo mondo, includono circa 1,6 milioni di credenziali per l’accesso ad aree private su siti web più o meno famosi, 320.000 nomi utente e password per la consultazione di account di posta personali, 41.000 credenziali per il login su server FTP, 3.000 dati d’accesso Remote Desktop, 3.000 coppie username-password per l’ingresso su server SSH.
Quanto evidenziato da Trustwave fa riflettere innanzi tutto su quanti utenti siano ancora a rischio infezione perché ancor’oggi non vengono adottate le più elementari misure per la protezione dei propri sistemi e su quanto sia importante, d’ora in avanti, poggiare sempre più sull’autenticazione a due fattori.
Si chiama così quel meccanismo che consente di accedere ad un servizio soltanto facendo ricorso all’utilizzo congiunto di due metodi di autenticazione individuale. Un approccio del genere consente di fidare su di un livello di sicurezza più elevato scongiurando eventuali tentativi di accesso da parte di persone non autorizzate. Per effettuare il login su un servizio è possibile utilizzare una password ma anche un telefono cellulare od un oggetto fisico chiamato “token” od, ancora, l’impronta digitale, la voce od altre caratteristiche che contraddistinguono ogni individuo in modo univoco (biometria). Un sistema a due fattori sfrutta, per l’autenticazione dell’utente, due diversi metodi tra quelli citati.
Ecco quindi che sempre più servizi di online banking stanno affiancando, alla classica coppia username-password, anche l’invio su cellulare di codici di conferma oppure la convalida telefonica (viene richiesto di chiamare un numero fisso dell’istituto bancario per ricevere automaticamente il via libera per il login o per un’operazione dispositiva).
Anche i social network si stanno attivando: basti pensare all’“approvazione degli accessi” e al servizio “notifiche degli accessi” di Facebook, alla verifica in due passaggi di Google ed al servizio similare di Twitter (vedere anche Twitter abilita l’autenticazione a due fattori. Dotcom protesta).
Graham Cluley, uno dei massimi esperti di Sophos, rileva innanzi tutto come ancora molti utenti utilizzino password semplici (L’importanza di scegliere password lunghe e complesse) e cita il sito Have I been pwned che consente di stabilire rapidamente se il proprio indirizzo e-mail, insieme con le altre credenziali, possa essere stato sottratto da parte di terzi nei principali attacchi su vasta scala che si sono via a via verificati.