Password

Sembra proprio che l’attacco hacker subito da 500px è solo la punta dell’iceberg. In seguito a un attacco hacker di portata molto più ampia, sono stati trafugati ben 617 milioni di account da 16 siti web. I dati adesso sono in vendita nel dark web. Da quello che abbiamo appreso, l’hacker autore dell’attacco vuole 20mila dollari in Bitcoin per il totale ma ogni database di ciascun sito è comunque acquistabile separatamente e, apparentemente, quello di DubSmash sarebbe già stato acquisito da un compratore.

I siti coinvolti sono in tutto sedici: Dubsmash (162 milioni), MyFitnessPal (151 milioni), MyHeritage (92 milioni), ShareThis (41 milioni), HauteLook (28 milioni), Animoto (25 milioni), EyeEm (22 milioni), 8fit (20 milioni), Whitepages (18 milioni), Fotolog (16 milioni), 500px (15 milioni), Armor Games (11 milioni), BookMate (8 milioni), CoffeeMeetsBagel (6 milioni), Artsy (1 milioni) e DataCamp (700.000).

Fortunatamente per gli utenti che sono stati coinvolti, loro malgrado, in questa vicenda, tutte le password sono state rubate ancora nella loro fase crittografia. Ciononostante, è consigliabile procedere al cambio della password nel caso in cui aveste un account fra i siti coinvolti.

Da quello che è emerso in rete, gli 11 GB di DubSmash e quelli di Fotolog, DataCamp e Armor Games risalgono a dicembre 2018, mentre quelli di 500px sono dello scorso luglio, come quelli di 8fit, BookMate e ShareThis.Allo stesso modo, anche quelli di Animoto e HauteLook sono stati sottratti nel corso del 2018, così come quelli di EyeEm e MyFitnessPal, entrambi risalenti ad attacchi del febbraio 2018.

Insomma, si rafforza più che mai l’opinione che utilizzare un sistema di autenticazione a due fattori, magari direttamente con una chiave di accesso hardware, dovrebbe essere un’impostazione di default di ogni servizio online.