Twitter: milioni di password potrebbero essere state sottratte e vendute

Twitter: milioni di password potrebbero essere state sottratte e vendute

Milioni di password degli account Twitter potrebbero essere state sottratte e vendute nel 'dark web'. L'hacker russo che ha affermato di essere entrato in possesso dell'enorme database con i dati degli account Twitter lo ha messo in vendita al prezzo di 10 bitcoin.

di pubblicata il , alle 10:23 nel canale Web
Twitter
 

A pochi giorni di distanza dalla notizia della violazione dell'account Twitter di Mark Zuckerberg, il popolare social network torna sotto i riflettori per un altro caso di sottrazione e diffusione non autorizzata dei dati personali necessari per accedervi. Questa volta, tuttavia, non è coinvolto un solo utente, ma di milioni di account. Un hacker russo, Tessa88, già coinvolto nei recenti casi di diffusione di dati personali relativi agli account MySpace, LinkedIn e Tumbler, ha dichiarato martedì scorso in una chat criptata di essere entrato in possesso di un corposo database che comprende i  e-mail, nome e password degli utenti Twitter. L'hacker ha messo in vendita l'intero database al prezzo di 10 bitcoin.

Secondo le informazioni inizialmente fornite dall'hacker, il database comprende 379 milioni di account, ma una successiva analisi effettuata da LeakedSource, che è riuscito ad entrare in possesso del database, ha ridotto il numero ad oltre 32 milioni account, dopo aver rimosso quelli duplicati. Ciascuna delle 32,888,300 voci del database contiene un indirizzo email, un nome utente e in alcuni casi una seconda mail e una password leggibile. 

Secondo LeakedSource, la diffusione non autorizzata dei dati relativi agli account sarebbe stata determinata non da una violazione del database di Twitter, quanto, piuttosto, da un malware che avrebbe inviato agli hacker i dati su nome utente e password memorizzati nei browser web. Trattandosi di password sottratte direttamente dagli utenti finali, non sono state in alcun modo criptate. 

Come avvenuto in analoghi casi di diffusione non autorizzata di dati personali, sarà importante stabilire l'effettiva corrispondenza tra i dati leaked e quelli tuttora esistenti ed attivi. LeakedSource ha verificato le password di un ristretto gruppo di utenti ed ha dichiarato: "Queste credenziali tuttavia sono reali e valide". Numerose password sono riconducibili ad utenti russi. Non è mancato l'intervento ufficiale di Twitter che ha dichiarato di aver dato il via agli opportuni controlli per verificare se le password diffuse illecitamente corrispondono a quelli presenti nel suo database

L'analisi del database svolta da LeakedSource mette in evidenza anche un altro dato che fa riflettere: tra le password più utilizzate figurano, infatti, le sequenze numeriche '123456' e '123456789', seguite da 'qwerty' e 'password'. Elementi che suggeriscono come la scelta di una password sia tuttora presa con leggerezza da certa parte degli utenti che utilizza password facilmente prevedibili - fermo restando che in caso di furto di dati non criptati la maggiore o minore complessità della password non può fare la differenza. In attesa di ulteriori riscontri sul nuovo furto di informazioni, è consigliabile cambiare la password del proprio account Twitter, così come lo sarebbe farlo periodicamente a prescindere dal caso citato.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta pi interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

8 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
ripe09 Giugno 2016, 10:43 #1
Ci vuole tanto a impedire direttamente che gli utenti possano usare password del genere? Chessò, tramite black list, riconoscimento dei pattern, expressioni regolari, vincoli di lunghezza e presenza di certi caratteri, ecc ecc...
andbad09 Giugno 2016, 11:39 #2
Queste le regole per la password per l'accesso ai sistemi informativi di un noto provider italiano:
[LIST]
[*]La lunghezza delle password deve essere di almeno 8 caratteri
[*]Le password devono essere costruite utilizzando i caratteri numerici, alfabetici e i simboli speciali
[*]le password devono contenere numeri e lettere in numero compreso tra un minimo di 3 e un massimo di 5
[*]Le password non devono contenere più di 3 caratteri uguali consecutivi.
[*]Le password non devono contenere spazi vuoti in nessuna posizione.
[*]Le password non devono contenere il nome o il cognome del proprietario.
[*]Le password non devono essere uguali ad una data
[*]Devono esserci almeno 5 caratteri differenti tra la vecchia e la nuova password.
[*]La nuova password deve essere diversa dalle precedenti tre.
[*]Le password devono essere diverse da:
[*]User-id.
[*]Cognome
[*]Date.
[/LIST]

Ammetto che ogni volta che devo cambiare la password (forzatamente ogni mese, mi pare), ho serie difficoltà a trovarne una che rispetti tutti questi parametri.
E ovviamente mi tocca scrivermela da qualche parte, con buona pace della sicurezza.

By(t)e
inkpapercafe09 Giugno 2016, 11:45 #3
Grande! Dumb proof!
ManuDJ09 Giugno 2016, 12:26 #4
Bon, ma con la verifica 2fa (per chi l'ha attivata), non credo possano fare molto.
red5goahead09 Giugno 2016, 12:43 #5
usate keepass2, una password per ogni servizio/sito qualunque cosa e scegliete il modello A{10}
kaede8909 Giugno 2016, 13:33 #6
Ci sono un sacco di tool online e offline che consentono di generare, salvare e fare l'autocompletamento delle password nel browser.
Usandoli non bisogna ne scriversi le password da qualche parte ne ricorsarsele tutte. Basta ricordarsi la password principale per accedere al tool (ecco magari evitando 12345 )
red5goahead09 Giugno 2016, 14:00 #7
Meglio offline. Nel mio caso su lastpass non ci sono i servizi importanti finanziari sopratutto. Il resto su pen drive
Zenida09 Giugno 2016, 23:52 #8
Per fortuna ho buona memoria (ancora) e ricordo decine e decine di password diverse (anche non mie... ma che gestisco io -.-).

A volte mi capita di dimenticarne qualcuna... ma qual'è il problema? Recupero psw e via. Si perde solo qualche minuto extra.

Quelle che assolutamente devono essere inviolabili sono le password email, con le quali è possibile fare tutti i recuperi di ogni servizio.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^