All'inizio di questo mese, il servizio di protezione dell'identità online NortonLifeLock, di proprietà della società tecnologica con sede in Arizona Gen Digital, ha inviato un avviso di sicurezza a molti dei suoi clienti.
La lettera di ammonimento può essere consultata online, ad esempio sul sito web del Ufficio del procuratore generale del Vermont, dove appare sotto il titolo NortonLifeLock – Avviso di violazione dei dati digitali di generazione ai consumatori.
La lettera inizia con un saluto dal suono spaventoso che dice:
Ti scriviamo per informarti di un incidente che coinvolge le tue informazioni personali.
Continua così:
[I nostri sistemi di rilevamento delle intrusioni] ci hanno avvisato che una parte non autorizzata è probabilmente a conoscenza dell'e-mail e della password che hai utilizzato con il tuo account Norton […] e con il tuo Norton Password Manager. Ti consigliamo di cambiare immediatamente le tue password con noi e altrove.
Mentre i paragrafi di apertura vanno, questo è piuttosto semplice e contiene consigli semplici anche se potenzialmente dispendiosi in termini di tempo: qualcuno diverso da te probabilmente conosce la password del tuo account Norton; potrebbero essere stati in grado di sbirciare anche nel tuo gestore di password; si prega di cambiare tutte le password il prima possibile.
Cos'è successo qua?
Ma cosa è realmente accaduto qui, ed è stata una violazione in senso convenzionale?
Dopotutto, LastPass, un altro nome noto nel gioco della gestione delle password, ha recentemente annunciato non solo di aver subito un'intrusione nella rete, ma anche che i dati dei clienti, comprese le password crittografate, era stato rubato.
Nel caso di LastPass, fortunatamente, le password rubate non erano di uso diretto e immediato per gli aggressori, perché il caveau delle password di ogni utente era protetto da una password principale, che non veniva memorizzata da LastPass e quindi non veniva rubata contemporaneamente .
I truffatori devono ancora prima decifrare quelle password principali, un compito che potrebbe richiedere settimane, anni, decenni o anche di più, per ogni utente, a seconda di quanto saggiamente siano state scelte quelle password.
Scelte sbagliate come 123456
ed iloveyou
probabilmente sono stati rimbombati entro le prime ore dal cracking, ma combinazioni meno prevedibili come DaDafD$&RaDogS
or tVqFHAAPTjTUmOax
quasi sicuramente resisterà molto più a lungo di quanto sarebbe necessario per cambiare le password nel tuo caveau.
Ma se LifeLock ha appena subito una violazione e la società avverte che qualcun altro conosceva già le password degli account di alcuni utenti e forse anche la password principale per tutte le altre password...
…non è molto peggio?
Quelle password sono già state violate in qualche modo?
Un diverso tipo di violazione
La buona notizia è che questo caso sembra essere un tipo di "violazione" piuttosto diverso, probabilmente causato dalla pratica rischiosa di utilizzare la stessa password per diversi servizi online diversi al fine di rendere un po' più veloce l'accesso ai siti di uso comune e più facile.
Subito dopo il primo consiglio di LifeLock di andare a cambiare le password, l'azienda suggerisce che:
[B]a partire dal 2022-12-01, una terza parte non autorizzata ha utilizzato un elenco di nomi utente e password ottenuti da un'altra fonte, come il dark web, per tentare di accedere agli account dei clienti Norton. I nostri sistemi non sono stati compromessi. Tuttavia, crediamo fermamente che una terza parte non autorizzata conosca e abbia utilizzato il tuo nome utente e password per il tuo account.
Il problema con l'utilizzo della stessa password su più account diversi è ovvio: se uno dei tuoi account viene compromesso, anche tutti i tuoi account sono compromessi, perché quella password rubata funge da scheletro chiave per gli altri servizi coinvolti .
Spiegazione del riempimento delle credenziali
In effetti, il processo per testare se una password rubata funziona su più account è così popolare tra i criminali informatici (ed è così facilmente automatizzato) che ha persino un nome speciale: riempimento delle credenziali.
Se un criminale online indovina, acquista sul dark web, ruba o esegue il phishing di una password per qualsiasi account che utilizzi, anche qualcosa di basso livello come il tuo sito di notizie locale o il tuo club sportivo, proverà quasi immediatamente la stessa password su altri probabili account a tuo nome.
In poche parole, gli aggressori prendono il tuo nome utente, lo combinano con la password che già conoscono e roba quelli Credenziali nelle pagine di accesso di tutti i servizi popolari che riescono a pensare.
A molti servizi di questi tempi piace usare il tuo indirizzo e-mail come nome utente, il che rende questo processo ancora più prevedibile per i Cattivi.
A proposito, anche l'utilizzo di una singola "radice" di password difficile da indovinare e l'aggiunta di modifiche per account diversi non aiuta molto.
È lì che cerchi di creare una falsa "complessità" partendo da un componente comune che is complicato, ad es Xo3LCZ6DD4+aY
, quindi aggiungendo modificatori semplici come -fb
per Facebook, -tw
per Twitter e -tt
per TikTok.
Le password che variano anche di un solo carattere finiranno con un hash di password criptato completamente diverso, in modo che i database rubati di hash di password non ti diranno nulla su quanto siano simili le diverse scelte di password...
… ma gli attacchi di credential stuffing vengono utilizzati quando gli aggressori conoscono già il testo in chiaro della tua password, quindi è fondamentale evitare di trasformare ogni passord in un comodo suggerimento per tutte le altre.
I modi comuni in cui le password non crittografate cadono nelle mani dei criminali includono:
- Attacchi di phishing, dove inavvertitamente digiti la password corretta nel sito sbagliato, quindi viene inviata direttamente ai criminali invece che al servizio a cui intendevi effettivamente accedere.
- spyware keylogger, software dannoso che registra deliberatamente le sequenze di tasti grezze digitate nel browser o in altre app sul laptop o sul telefono.
- Scarsa igiene della registrazione lato server, dove i criminali che irrompono in un servizio online scoprono che l'azienda ha accidentalmente registrato password in chiaro su disco invece di conservarle solo temporaneamente in memoria.
- Malware di scraping della RAM, che viene eseguito su server compromessi per fare attenzione ai probabili schemi di dati che appaiono temporaneamente in memoria, come i dettagli della carta di credito, i numeri ID e le password.
Non stai incolpando le vittime?
Anche se sembra che lo stesso LifeLock non sia stato violato, nel senso convenzionale dei criminali informatici che irrompono nelle reti dell'azienda e ficcano il naso nei dati dall'interno, per così dire...
… abbiamo visto alcune critiche su come è stato gestito questo incidente.
Ad essere onesti, i fornitori di sicurezza informatica non possono sempre impedire ai loro clienti di "fare la cosa sbagliata" (nei prodotti Sophos, ad esempio, facciamo del nostro meglio per avvisarvi sullo schermo, in modo chiaro e chiaro, se scegliete impostazioni di configurazione che sono più rischioso di quanto raccomandiamo, ma non possiamo costringerti ad accettare il nostro consiglio).
In particolare, un servizio online non può facilmente impedirti di impostare esattamente la stessa password su altri siti, anche perché dovrebbe collaborare con questi altri siti per farlo, o condurre test di riempimento delle credenziali per proprio conto, violando così la sacralità della tua password.
Tuttavia, alcuni critici hanno suggerito che LifeLock avrebbe potuto individuare questi attacchi di riempimento di password in blocco più rapidamente di quanto non abbia fatto, forse rilevando lo schema insolito di tentativi di accesso, presumibilmente inclusi molti che non sono riusciti perché almeno alcuni utenti compromessi non stavano riutilizzando password o perché il database delle password rubate era impreciso o non aggiornato.
Quei critici notano che sono trascorsi 12 giorni tra l'inizio dei falsi tentativi di accesso e l'azienda che ha individuato l'anomalia (dal 2022-12-01 al 2022-12-12) e altri 10 giorni tra la prima volta che ha notato il problema e ha capito che il problema era quasi certamente a causa di dati violati acquisiti da una fonte diversa dalle reti dell'azienda.
Altri si sono chiesti perché l'azienda abbia aspettato fino al nuovo anno 2023 (dal 2022-12-12 al 2023-01-09) per inviare la notifica di "violazione" agli utenti interessati, se era a conoscenza di tentativi di riempimento di massa delle password prima di Natale 2022.
Non cercheremo di indovinare se l'azienda avrebbe potuto reagire più rapidamente, ma vale la pena ricordare - nel caso in cui ti capiti mai - che determinare tutti i fatti salienti dopo aver ricevuto reclami su "una violazione" può essere un gigantesco impresa.
In modo fastidioso, e forse ironico, scoprire di essere stato violato direttamente dai cosiddetti avversari attivi è spesso tristemente facile.
Chiunque abbia visto centinaia di computer visualizzare contemporaneamente una nota di ricatto ransomware in faccia che richiede migliaia o milioni di dollari in criptovalute, purtroppo lo attesterà.
Ma capire quali criminali informatici sicuramente non ha fatto alla tua rete, che essenzialmente si sta rivelando negativa, è spesso un esercizio che richiede tempo, almeno se vuoi farlo scientificamente e con un livello di accuratezza sufficiente per convincere te stesso, i tuoi clienti e le autorità di regolamentazione.
Cosa fare?
Per quanto riguarda la colpa della vittima, è comunque fondamentale notare che, per quanto ne sappiamo, non c'è nulla che LifeLock, o qualsiasi altro servizio in cui le password sono state riutilizzate, possano fare ora, da soli, per risolvere la causa sottostante di questo problema.
In altre parole, se i truffatori entrano nei tuoi account su servizi decentemente sicuri P, Q e R semplicemente perché hanno scoperto che hai usato la stessa password su un sito non così sicuro S, quei siti più sicuri non possono impedirti di prendere il stesso tipo di rischio in futuro.
Quindi, i nostri suggerimenti immediati sono:
- Se hai l'abitudine di riutilizzare le password, non farlo più! Questo incidente è solo uno dei tanti nella storia che attirano l'attenzione sui pericoli coinvolti. Ricorda che questo avviso sull'utilizzo di una password diversa per ogni account si applica a tutti, non solo ai clienti LifeLock.
- Non utilizzare password correlate su siti diversi. Una radice di password complessa combinata con un suffisso facilmente memorizzabile unico per ogni sito ti darà, letteralmente parlando, una password diversa su ogni sito. Tuttavia, questo comportamento lascia uno schema ovvio che è probabile che i truffatori capiscano, anche da un singolo campione di password compromessa. Questo "trucco" ti dà solo un falso senso di sicurezza.
- Se hai ricevuto una notifica da LifeLock, segui i consigli nella lettera. È possibile che alcuni utenti ricevano notifiche a causa di accessi insoliti che erano comunque legittimi (ad esempio mentre erano in vacanza), ma leggili comunque attentamente.
- Prendi in considerazione l'attivazione di 2FA per tutti gli account che puoi. Lo stesso LifeLock consiglia 2FA (autenticazione a due fattori) per gli account Norton e per tutti gli account in cui sono supportati gli accessi a due fattori. Concordiamo, perché le password rubate da sole sono molto meno utili per gli aggressori se hai anche 2FA sulla loro strada. Fallo indipendentemente dal fatto che tu sia un cliente LifeLock o meno.
Potremmo ancora finire in un mondo digitale senza alcuna password: molti servizi online stanno già cercando di muoversi in quella direzione, cercando di passare esclusivamente ad altri modi per controllare la tua identità online, come l'uso di token hardware speciali o misurazioni biometriche Invece.
Ma le password sono con noi già da più di mezzo secolo, quindi sospettiamo che saranno con noi ancora per molti anni, per alcuni o molti, se non più tutti, dei nostri account online.
Mentre siamo ancora bloccati con le password, facciamo uno sforzo determinato per usarle in un modo che offra il minor aiuto possibile ai criminali informatici.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://nakedsecurity.sophos.com/2023/01/17/serious-security-unravelling-the-nortonlifelock-hacked-passwords-story/
- 1
- 10
- 2022
- 2023
- 2FA
- a
- capace
- WRI
- Assoluta
- Accetta
- Il mio account
- conti
- precisione
- acquisito
- operanti in
- atti
- effettivamente
- indirizzo
- consigli
- Dopo shavasana, sedersi in silenzio; saluti;
- Tutti
- già
- sempre
- ed
- ha annunciato
- Un altro
- apparire
- applicazioni
- Archivio
- in giro
- attacchi
- tentato
- Tentativi
- attenzione
- rappresentante legale
- Autenticazione
- autore
- auto
- Automatizzata
- background-image
- Vasca
- perché
- prima
- CREDIAMO
- MIGLIORE
- fra
- biometrico
- Po
- Ricatto
- Incolpare
- sistema
- Parte inferiore
- violazione
- Rompere
- Rottura
- del browser
- Acquista
- carta
- attentamente
- Custodie
- Causare
- ha causato
- centro
- Secolo
- certamente
- il cambiamento
- carattere
- verifica
- scelte
- Scegli
- scelto
- Natale
- club
- colore
- combinazioni
- combinare
- combinato
- Uncommon
- azienda
- Società
- complesso
- complicato
- componente
- Compromissione
- computer
- Segui il codice di Condotta
- Configurazione
- contiene
- continua
- convenzionale
- convincere
- potuto
- coprire
- crepa
- creare
- CREDENZIALI
- credito
- carta di credito
- Azione Penale
- criminali
- critica
- Critica
- cliente
- dati dei clienti
- Clienti
- i criminali informatici
- Cybersecurity
- pericoli
- Scuro
- Web Scuro
- dati
- violazione di dati
- Banca Dati
- banche dati
- Giorni
- decenni
- esigente
- Dipendente
- dettagli
- rivelazione
- determinato
- determinazione
- DID
- diverso
- digitale
- mondo digitale
- dirette
- direzione
- direttamente
- scopri
- scoperto
- Dsiplay
- non
- dollari
- Dont
- giù
- ogni
- Presto
- più facile
- facilmente
- sforzo
- o
- altrove
- crittografato
- essenzialmente
- Anche
- EVER
- tutti
- di preciso
- esempio
- esclusivamente
- Esercitare
- fallito
- fiera
- falso
- Autunno
- pochi
- figura
- ricerca
- Nome
- Fissare
- seguire
- segue
- forza
- per fortuna
- da
- ulteriormente
- futuro
- gioco
- Gen
- ottenere
- Dare
- dà
- Go
- andando
- buono
- Metà
- Mani
- a portata di mano
- successo
- accade
- Hardware
- hash
- altezza
- Aiuto
- qui
- storia
- tenere
- ORE
- librarsi
- Come
- Tuttavia
- HTTPS
- centinaia
- Identità
- immediato
- subito
- in
- incidente
- includere
- Compreso
- informazioni
- invece
- coinvolto
- ironicamente
- problema
- IT
- stessa
- solo uno
- conservazione
- Le
- Sapere
- conoscenze
- laptop
- LastPass
- lettera
- Livello
- probabile
- Lista
- piccolo
- locale
- più a lungo
- cerca
- SEMBRA
- make
- FA
- il malware
- gestione
- direttore
- molti
- Margine
- Mastercard
- max-width
- misurazioni
- Memorie
- forza
- milioni
- modifiche
- Mese
- Scopri di più
- cambiano
- multiplo
- Nome
- Bisogno
- negativo.
- Rete
- reti
- tuttavia
- New
- Capodanno
- notizie
- normale
- notifica
- notifiche
- numeri
- ottenuto
- ovvio
- ONE
- online
- apertura
- minimo
- Altro
- Altri
- proprio
- Di proprietà
- partito
- Password
- gestione delle password
- gestore di password
- Le password
- Cartamodello
- modelli
- Paul
- Forse
- cronologia
- telefono
- Platone
- Platone Data Intelligence
- PlatoneDati
- per favore
- Popolare
- posizione
- possibile
- Post
- potenzialmente
- pratica
- Prevedibile
- piuttosto
- prevenire
- probabilmente
- Problema
- processi
- Prodotti
- protetta
- protezione
- metti
- più veloce
- rapidamente
- ransomware
- Crudo
- Leggi
- ricevere
- ricevuto
- recentemente
- raccomandare
- raccomanda
- record
- Regolatori
- relazionato
- ricorda
- ricordando
- Rischio
- Rischioso
- stesso
- problemi di
- sembra
- senso
- grave
- Server
- servizio
- Servizi
- regolazione
- impostazioni
- alcuni
- simile
- semplicemente
- contemporaneamente
- singolo
- site
- Siti
- snooping
- So
- Software
- solido
- alcuni
- Qualcuno
- qualcosa
- Fonte
- parlando
- la nostra speciale
- Sports
- spyware
- Di partenza
- inizio
- ruba
- gambo
- Ancora
- rubare
- Fermare
- memorizzati
- Storia
- lineare
- fortemente
- ripieno
- tale
- sufficiente
- suggerisce
- supportato
- SVG
- SISTEMI DI TRATTAMENTO
- Fai
- presa
- Task
- Tecnologia
- Testing
- test
- Il
- loro
- perciò
- Terza
- migliaia
- Attraverso
- TikTok
- tempo
- richiede tempo
- suggerimenti
- Titolo
- a
- Tokens
- top
- COMPLETAMENTE
- transizione
- trasparente
- Svolta
- per
- unico
- URL
- us
- uso
- Utente
- utenti
- utilizzati
- vacanza
- Volta
- fornitori
- Vermont
- vittime
- Violare
- importantissima
- identificazione dei warning
- Orologio
- modi
- sito web
- Sito web
- Settimane
- noto
- Che
- se
- quale
- while
- OMS
- volere
- entro
- senza
- parole
- lavori
- mondo
- valore
- sarebbe
- scrittura
- Wrong
- anno
- anni
- Tu
- Trasferimento da aeroporto a Sharm
- te stesso
- zefiro