UserVoice hackerato, gestori ammettono debolezza del sistema di sicurezza

UserVoice hackerato, gestori ammettono debolezza del sistema di sicurezza

UserVoice è stato oggetto di un attacco hacker che permesso di visualizzare nomi utenti e password di un ristretto numero di utenti. I gestori del servizio ammettono che la causa è riconducibile alla debolezza degli algoritmi crittografici. Subito adottate le misure adatte a prevenire nuovi cyberattacchi.

di pubblicata il , alle 08:51 nel canale Sistemi
 

UserVoice ha confermato di aver subito un attacco hacker il mese scorso e che i dati relativi a nome utente e password di un ristretto numero di utenti sono stati compromessi. La piattaforma UserVoice viene utilizzata da protagonisti di primo piano del mercato hi-tech per acquisire feedback sui propri prodotti; il nome di UserVoice, ad esempio, sarà probabilmente noto agli utenti Microsoft e Twitch, aziende che sfruttano UserVoice per raccogliere segnalazioni, suggerimenti e consigli sul servizio fornito. 

Stando a quanto comunicato dai gestori del servizio, l'attacco è stato messo a segno a causa della debolezza dei sistemi crittografici utilizzati per proteggere i dati personali degli utenti: Purtroppo, l'hashing delle password è stato effettuato con l'algoritmo SHA1, che è da considerare debole in rapporto agli standard attuali - chiarisce UserVoice. In termini sostanziali, l'attacco ha compromesso una quantità di dati personali riconducibili ad una minima parte degli utenti iscritti: meno dello 0,001% degli utenti, nello specifico. Nessun dato finanziario (es. quelli relativi a carte di credito) è stato compromesso e non sono stati esposti all'attacco gli utenti che accedono alla piattaforma effettuando il login con Gmail, Yahoo e Facebook.

UserVoice ha confermato di aver informato gli utenti interessati dall'attacco, suggerendo di modificare nome utente e password. Come ulteriore misura precauzionale, UserVoice sta richiedendo a tutti gli utenti (interessati o meno dall'attacco) di modificare la password di UserVoice e quella degli altri siti che condividono la vecchia password di Uservoice. Alle misure adottate per correggere nell'immediato i potenziali danni causati dal recente cyberattacco, si sommano ulteriori provvedimenti che dovrebbero evitare il ripetersi di nuove minacce alla sicurezza, così schematizzati da UserVoice: 

  • Sono state identificate le modalità dell'attacco che ha consentito di accedere al sistema ed apportate le modifiche all'infrastruttura per prevenire ulteriori attacchi
  • Sono in fase di implementazione nuovi layer di sicurezza nel backend 
  • Sono stati innalzati i requisiti della password per tutti gli utenti
Un brutto 'scivolone' per UserVoice che può contare circa 10,000 aziende tra la sua clientela e che non è riuscita a scongiurare l'attacco a causa della sopra citata scarsa efficacia degli algoritmi crittografici. Il caso contribuirà indubbiamente a determinare l'auspicabile innalzamento degli standard di sicurezza utilizzati dalla compagnia che, come detto, si è già mossa in tale direzione. Apprezzabile, al di là di tutto, l'onesta intellettuale con la quale i gestori di UserVoice hanno chiarito le cause del cyberattacco in una dettagliata pagina del sito ufficiale.

 
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^