SourceForge.net azzera le password

SourceForge.net azzera le password

Un tentativo di attacco alla rete di SourceForge.net ha suggerito un drastico intervento: tutte le password azzerate

di Fabio Boneschi pubblicata il , alle 16:41 nel canale Sicurezza
 

SourceForge.net ha ammesso di aver subito un importante attacco sui propri sistemi: oggetto di questa pericolosa azione sarebbero le credenziali di accesso agli account. La delicata situazione ha suggerito a SourceForge.net di correre ai ripari azzerando tutte le password dei propri utenti. Quindi, da quest'oggi per gli utenti di SourceForge.net è necessario accedere alla procedura di recupero password che prevede l'invio di una email all'utente e l'accesso a una pagina dedicata in cui inserire la nuova password.

Le circostanze sono confermate dal blog ufficiale di SourceForge dal quale però non si capisce se alcuni account siano o meno stati violati. La scelta di azzerare tutte le password di acceso è comunque una soluzione drastica che conferma anche la gravità della situazione, inoltre una soluzione simile conferma quanto SourceForge tenga alla sicurezza e non abbia problemi a rendere pubbliche informazioni tanto scomode.

Gli utenti di SourceForge.net sono quindi invitati a leggere questo post e successivamente a cambiare la propria password. Non è completamente da escludere che la delicata situazione non venga sfruttata per creare un'azione di phishing realizzata per l'occasione, quindi permane l'invito alla massima cautela.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

12 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
JackZR31 Gennaio 2011, 17:02 #1
Gli attacchi all'OPEN sono vergognosi.
djfix1331 Gennaio 2011, 17:12 #2
...solo per dirne una che non vuole essere un flame sterile... ma con queste dimostrazioni di vulnerabilità, si vuole ancora generare tutto in Cloud ??? la sicurezza più grande la fa il proprio PC al di fuori della rete...

...per la redazione...il phishing è una azione di addescamento per carpire i codici/password degli utenti malcapitati, non ha quindi alcuna relazione ad un attacco come questo che di codici ne ha già prelevati quindi una frase come: "...Non è completamente da escludere che la delicata situazione non venga sfruttata per creare un'azione di phishing realizzata per l'occasione, quindi permane l'invito alla massima cautela.", non ha alcun senso.
flx200031 Gennaio 2011, 18:17 #3
Originariamente inviato da: djfix13
...solo per dirne una che non vuole essere un flame sterile... ma con queste dimostrazioni di vulnerabilità, si vuole ancora generare tutto in Cloud ??? la sicurezza più grande la fa il proprio PC al di fuori della rete...

...per la redazione...il phishing è una azione di addescamento per carpire i codici/password degli utenti malcapitati, non ha quindi alcuna relazione ad un attacco come questo che di codici ne ha già prelevati quindi una frase come: "...Non è completamente da escludere che la delicata situazione non venga sfruttata per creare un'azione di phishing realizzata per l'occasione, quindi permane l'invito alla massima cautela.", non ha alcun senso.


A parte il luogo comune che hai citato all'inizio del tuo intervento, la cautela sui fenomeni di phishing è quantomai opportuna proprio in queste circostanze.
Tanto per farti un esempio, è possibile invitare gli iscritti a recuperare la password su un sito malevolo, fingendosi l'autentico SourceForge, e chi sa del problema potrebbe tenere le difese abbassate aspettandosi in qualche modo una comunicazione simile dal vero SourceForge.
tiMo31 Gennaio 2011, 18:24 #4
Mi è arrivata la mail in questione un paio di giorni fa e all'inizio temevo fosse phishing, poi ho visto che era tutt'altro che una bufala.
maumau13831 Gennaio 2011, 20:15 #5
Originariamente inviato da: djfix13
...solo per dirne una che non vuole essere un flame sterile... ma con queste dimostrazioni di vulnerabilità, si vuole ancora generare tutto in Cloud ??? la sicurezza più grande la fa il proprio PC al di fuori della rete...

...per la redazione...il phishing è una azione di addescamento per carpire i codici/password degli utenti malcapitati, non ha quindi alcuna relazione ad un attacco come questo che di codici ne ha già prelevati quindi una frase come: "...Non è completamente da escludere che la delicata situazione non venga sfruttata per creare un'azione di phishing realizzata per l'occasione, quindi permane l'invito alla massima cautela.", non ha alcun senso.


Al momento è il phishing il problema, un hacker può benissimo mandare una finta mail all'utente e fregare la sua password.
sbudellaman31 Gennaio 2011, 20:48 #6
Gli hacker che effettuano operazioni di questo tipo sono proprio dei criminali per non usare altri termini. Odio a morte queste persone assieme a quelle che si divertono a creare virus e a gettare m***a nella rete.
Ma ancora di più odio le persone che adorano certa gente che invece dovrebbe marcire in galera. Non sapete quante volte ho quasi mandato a quel paese "amici" che inneggiavano alle "favolose" imprese di questi criminali, perchè erano dei "grandi", dei "miti"...
Althotas31 Gennaio 2011, 23:33 #7
SourceForge ha pubblicato il report completo dell'attacco: http://sourceforge.net/blog/sourcef...ck-full-report/
ironoxid01 Febbraio 2011, 00:02 #8
Che piaccia oppure no, sia gli hacker che i cracker fanno parte del gioco di forze che guida lo sviluppo della sicurezza IT. Senza questo continuo rincorrersi tra guardie e ladri non ci sarebbe evoluzione. Non può esserci l'uno senza l'altro. Ricordo episodi in cui sono stati creati virus solo per costringere aziende con responsabilità indicibili (monopolio) a difendere i propri utenti con una patch. Questo vale anche per molte altre occasioni in cui notifiche private di vulnerabilità sono state ripetutamente ignorate fino alla disclosure. In questo caso chi è criminale? Il virus che alla fine ti chiude un buco e ti mette al sicuro o l'azienda che se ne frega e ti lascia come un fesso nelle mani di pochi? Fate vobis...
Althotas01 Febbraio 2011, 00:13 #9
L'attacco in questione è un po' diverso dal discorso che fai tu.

Non sono d'accordo con il tuo punto di vista. L'evoluzione di certi aspetti è solo una necessità dovuta ad atti criminali. Il giorno in cui tu subissi una frode a causa di una violazione al tuo pc, e ci rimettessi dei quattrini, sono sicuro che poi la penseresti in maniera diversa.
II ARROWS01 Febbraio 2011, 01:57 #10
djfix, ecco un esempio.
Email:
Prego, faccia l'accesso con questa password e successivamente la cambi.

Ora che l'hai cambiata, l'utente non attento, anche se credo che su Sourceforge siano tutti programmatori e quindi debbano stare attenti per definizione, riproverà di nuovo sul sito vero e rimetterà la password.

Ora il "phisher" ha le tue credenziali di accesso a SourceForge...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^