Rubati 117 milioni di email e password su Linkedin

Un hacker sta cercando di vendere i dati di 117 milioni di account su Linkedin, incluse email e password.

L'hacker, noto come "Peace", ha raccontato a Motherboard che i dati sono stati sottratti quando Linkedin è stato violato nel 2012. All'epoca vennerò pubblicate online solo 6.5 milioni di password e Linkedin non ha mai chiarito quanti account fossero interessati dall'attacco.

Apparentemente molti di più di quanto chiunque potesse pensare.

Peace sta cercando di piazzare i dati nel marketplace illegale The Real Deal, nel dark web, per circa 5 bitcoin (circa 2.200 dollari, al cambio attuale). Nel mentre, il motore di ricerca LeakedSource dichiara di aver ottenuto i dati in questione. Sia Peace che una delle persone dietro LeakedSource hanno dichiarato che il leak riguarda circa 167 milioni di account. Tra questi, circa 117 milioni riguardano sia l'indirizzo mail che la password crittata

"Sta venendo a galla solo ora. Gli utenti potrebbero non aver preso sul serio la cosa, a suo tempo, e non ha raggiunto molte persone," mi ha spiegato una delle persone dietro LeakedSource. "Che io sappia l'intero database era nelle mani di un ristretto gruppo di russi."

LeakedSource ha fornito a Motherboard un campione di circa un milione di credenziali, inclusi indirizzi mail, password crittate e le corrispondenti password decrittate. Le password erano inizialmente crittate con l'algoritmo SHA1, senza "sale", una serie di numeri apposti alla fine degli hash per renderli più difficili da decrittare.

Uno degli operatori di LeakedSource ci ha detto in chat che al momento hanno descrittato circa "il 90% delle password in 72 ore."

Troy Hunt, un esperto di sicurezza che cura "Have i been Pwned, il sito per verificare la fuga di dati sensibili," è riuscito a mettersi in contatto con alcune delle vittime. Due di loro hanno confermato di essere utenti Linkedin e che le password che ha comunicato corrispondono con le loro al tempo dell'attacco. Motherboard è riuscita a confermare una terza vittima.

Una delle vittime ha rivelato a Motherboard che la password nel campione era ancora la sua password fino all'istante in cui Hunt è riuscito a contattarla per notificare l'avvenuto furto.

"Scoprire che la propria password è stata pubblicata su internet è come venire a sapere che qualcuno può invadere il tuo spazio personale in qualsiasi momento e senza che tu te ne possa accorgere," mi ha scritto la persona in questione via mail, chiedendo di restare anonima.

Martedì, alla richiesta di un commento, Hani Durzy, portavoce di Linkedin, ha dichiarato a Motherboard che il team per la sicurezza dell'azienda sta indagando sull'incidente, ma che al momento non sono stati in grado di confermare la legittimità dei dati sottratti. Durzy, comunque, ha amesso che i 6.5 milioni di account pubblicati nel 2012 non costituissero necessariamente la totalità del furto.

"Non sappiamo quanti dati sono stati presi," mi ha detto al telefono.

La morale: Per Linkedin la morale sembrerebbe la stessa di quattro anni fa: non archiviare le password in modo insicuro. Per gli utenti, invece, la morale è che, se non hanno cambiato la password quattro anni fa, dovrebbero provvedere a farlo ora, specialmente se è comune ad altri account (dovreste smetterla di riciclare le password, però).

"Il riciclo sistematico delle password significa che potrebbero sbloccare anche altri account, su altri siti," mi spiega Hunt.

Un'altra morale è che anche i dati vecchi hanno un qualche valore, dal momento che qualcuna di queste password potrebbe essere ancora in uso.