I membri del gruppo LulzSec – responsabile, secondo quanto emerso, di alcuni attacchi nei confronti di Sony (ved. questo articolo) – hanno pubblicato online una lista di ben 26.000 coppie username/password utilizzate per l’accesso ad un sito web a luci rosse. Stando a quanto rivelato pubblicamente, tali credenziali sarebbero state sottratte proprio dai server del sito pornografico – grazie ad un attacco mirato – e conterrebbero numerose e-mail facenti riferimento a domini di primo livello .mil
e .gov
(utilizzati dalle forze armate e dalle istituzioni governative degli Stati Uniti).
La questione ha creato non pochi imbarazzi dal momento che, come sottolineano da LulzSec, gli stessi dati sono stati impiegati – pari pari – per attivare account Facebook. Chi ha registrato gli account, insomma, non ha rispettato nemmeno la prima elementare regola di non utilizzare la stessa password su più siti web.
Con una procedura illegale in Italia così come in molti altri Paesi, il gruppo LulzSec ha poi invitato gli utenti ad effettuare il login su Facebook con le credenziali sottratte e ad informare i parenti e gli amici dei “malcapitati” circa le loro abitudini online.
Fortunatamente, i tecnici di Facebook hanno immediatamente bloccato tutti gli account indicati dal gruppo di criminali informatici con un’operazione che ha guadagnato il plauso di LulzSec.
Graham Cluley, uno degli esperti di Sophos, non esclude che accoppiate identiche di username e password siano state impiegate anche su altri servizi online.
L’accaduto deve comunque servire come monito per ricordare agli utenti quanto sia delicata ed importante la scelta delle password. Oltre ad accertarsi di impiegare password differenti per ciascun sito web che si frequenta, è altrettanto cruciale l’utilizzo di password sufficientemente “forti”, che non possano essere quindi agevolmente individuate mediante meccanismi automatizzati (a tal proposito, vi suggeriamo di approfondire l’argomento consultando questo articolo).