A volte ritornano: dell’attacco a Dropbox e delle credenziali rubate

Gioxx  —  03/09/2016 — Leave a comment

Probabilmente era solo questione di tempo, la speranza che ci fosse dietro qualcuno a gonfiare la cosa più del dovuto, magari per farsi notare nella community e ottenere quei 15 minuti di notorietà. E invece no. Il leak delle credenziali Dropbox datato 2012 e quasi passato inosservato per molti (non per tutti, rilanciato anche da molte testate e siti web, nda) sembra essere reale e funzionante.

A volte ritornano: dell'attacco a Dropbox e delle credenziali rubate

In questi giorni arrivano mail da Dropbox che invitano a cambiare la propria password di accesso solo per “prevenire possibili attacchi“, in realtà c’è chi ha messo le mani su quanto sottratto 4 anni fa, ottenendo “buoni” (si fa per dire) risultati, dimostrando come siano ben visibili le coppie di credenziali (username e password) all’interno dei file recuperati. Consiglio caldamente la lettura dell’articolo di Troy Hunt in merito, disponibile all’indirizzo troyhunt.com/the-dropbox-hack-is-real. Con pochi passaggi ha mostrato come le credenziali per l’accesso all’account Drpobox della moglie fossero alla mercé di tutti (quelli coloro hanno copia degli accessi sottratti, nda), nonostante la password fosse stata creata in maniera robusta e difficilmente “calcolabile o intuibile“.

Il suo progetto, HIBP (Have I been pwned? Qui maggiori informazioni) raccoglie 68.648.009 account di Dropbox potenzialmente compromessi, immediatamente ricercabili. Io ho già trovato uno dei miei account Dropbox, risulta facente parte dell’elenco sottratto all’azienda, ma avevo cambiato password e abilitato l’autenticazione in due fattori già all’epoca dell’attacco (nel frattempo ho anche modificato la mail di accesso), non ho mai riscontrato problemi in seguito (furto di dati, cancellazioni o simili).

A volte ritornano: dell'attacco a Dropbox e delle credenziali rubate 1

Tu puoi fare la stessa cosa. Di certo devi andare a verificare che il tuo indirizzo di posta non faccia parte di quell’elenco (e potenzialmente anche di altro), quindi cambiare la tua password e abilitare l’accesso 2-Step come già spiegato in questo mio vecchio articolo (scritto proprio dopo quell’attacco del 2012):

Sicurezza: la 2-step verification di Dropbox

Prima di concludere: ricorda di iscrivere ogni tuo indirizzo di posta elettronica, utilizzato per registrarti a servizi di terze parti, al sito di Troy (da qui: haveibeenpwned.com/NotifyMe), così da ricevere tempestivamente un avviso nel caso in cui il tuo account venga sottratto da qualche database senza che tu ne sappia alcunché, così da reagire immediatamente all’attacco e cambiare la tua password. Ricorda: evita di utilizzare la stessa password per più servizi, ti esponi a maggiore facilità di penetrazione. Utilizza sempre una password facile da ricordare (per te) ma difficile da intuire (sembra un gioco di parole, ti assicuro che non vuole esserlo). È buona norma raggiungere o superare gli 8 caratteri alfanumerici includendo possibilmente una maiuscola e un segno di punteggiatura o altro simbolo, in alcuni casi viene accettato anche lo spazio.

Giusto per capirci: lo sai che “Il cavallo bianco di Napoleone :-)” è una password più complessa di “L0h4ck3r2o16.!!” o altre simili inventate sul momento, pensando che così nessuno possa trovarle? L’apparenza inganna spesso. Utilizza un buon programma per generare e salvare le tue password (1Password, KeePass e simili), cerca di averne una per ciascun servizio utilizzato, proteggi il più possibile i tuoi accessi con la 2 Factor Authentication.

Estote parati (citando il buon Matteo).

ATTENZIONE: Questo post è stato scritto più di 5 mesi fa, potrebbe non essere aggiornato. Per qualsiasi dubbio ti invito a lasciare un commento per chiedere ulteriori informazioni! :)

Condividi l'articolo con i tuoi contatti: