Dona il 5x1000 a Spazio Asperger ONLUS. Codice Fiscale: 97690370586
Spazio Asperger è attivo anche su Facebook.

Per raggiungere la nostra pagina con gli argomenti più discussi del giorno, news e immagini cercate "spazioasperger.it"

Per un gruppo indirizzato a ricerca e terapia cercate "Ricerca e terapia nello Spettro Autistico"

Attenzione al furto delle password di chi usa LinkedIn

chi utilizza LinkedIn cambi subito la password in quanto quella piattaforma è stata compromessa e decine di migliaia di password rubate.
la storia è sempre quella del ricatto: arriva una email all'indirizzo di posta utilizzato per registrarsi, in cui rivelano la vostra password (ed è esattamente quella scelta da voi per quel servizio).
continua minacciando che se non paghi il ricatto entro 1 giorno i tuoi dati sensibili verranno diffusi.
quella della diffusione dei dati è una bufala, mentre il furto delle password è reale, quindi cambiatela immediatamente!
Sniper_OpsAJDaisyamigdalaBlindValentaMarcelaE

Commenti

  • MarkovMarkov Pilastro
    Pubblicazioni: 7,823
    E per prevenire ciò basta scegliere password non banali.
  • riotriot Moderatore
    Pubblicazioni: 5,222
    Markov ha detto:

    E per prevenire ciò basta scegliere password non banali.

    però hanno violato i loro server, password banali e non sono in possesso di hacker

  • MarkovMarkov Pilastro
    Pubblicazioni: 7,823
    Se non è banale non la possono vedere. Scommetto che le email che arrivano sono tipo:

    "...La tua password è: casa123"
  • riotriot Moderatore
    modificato 4 February Pubblicazioni: 5,222
    Markov non hai capito: sono entrati nei server di LinkeIn copiando i dati di ben 117 milioni di profili*.
    la password degli utenti è solo uno dei dati utente, ma non è che le hanno usate per entrare nei singoli profili.

    * aggiornamento dell'ultima ora
    Post edited by riot on

  • MarkovMarkov Pilastro
    Pubblicazioni: 7,823
    Eh ho capito, è quello che succede di tanto in tanto da qualche parte. Basta scegliere password complicate e non ti arriva nessuna email in quanto non riescono a decriptare la tua password.
  • BlindBlind Colonna
    Pubblicazioni: 2,193
    @Markov supponiamo che, al momento dell'iscrizione, la tua password "non banale" venga codificata SHA-256 e poi memorizzata in un db.
    Un qualsiasi dipendente di LinkedIn che abbia accesso a quel db potrebbe vedere l'hash della tua password e non essere in grado di decifrarla.
    Se però, per accedere al sito/app, viene fatto un confronto tra il valore ottenuto dalla codifica SHA-256 del testo inserito nel campo "password" della form di login e quello memorizzato nel db, capisci bene che non frega nulla a nessuno se "67140e6b6e5443600fecde357a7d808a5e2e28f4554e8957c0ea553d595c1f14" è l'hash SHA-256 di "casa123" o di qualcosa più complesso: basta inviarla così com'è per accedere al tuo profilo! ;)

    Nel dubbio su quanto sia davvero robusto il sistema usato per autenticare gli accessi (su alcuni portali di vendita online, ad esempio, è solo l'hash della password concatenata con un timestamp e una chiave pubblica) è meglio modificare almeno leggermente la propria password (aggiungendo un punto da qualche parte o sostituendolo con un altro segno di punteggiatura)


    -/-

    Grazie @riot per la segnalazione
    :)>-
    rondinella61riot
  • MarkovMarkov Pilastro
    modificato 5 February Pubblicazioni: 7,823
    Ma non è vero. Da quando esiste il web dinamico ogni sito serio ti permette di accedere solo da un form che cifra l'input della password. Quindi se hai solo l'hash non ci fai nulla. E su questo campo sono stati fatti pochissimi progressi, magari ora sono arrivati ad avere un dizionario con tutti gli hash di 8 caratteri e tutte le parole frequenti (aiutandosi con qualche leakage di database che non cifravano proprio), ma si fermano ancora lì.
    Una password tipo: "__Quanto_è_FI60_shEldon" non te la scopriranno ancora per un bel po' di anni :)

    Al limite si potrebbe dire che su quel sito ti possono leggere tutti i dati che hai messo, non perché eseguono l'accesso col tuo account (quello non lo possono fare senza sapere la password in chiaro), ma perché con la stessa SQLi con cui ti hanno preso la password probabilmente potevano leggere pure tutte le informazioni che hai caricato sul sito. Tuttavia rimane un problema blando, non potranno usare la tua password per accedere ad altri siti dove ti sei registrato con la stessa password. 

    Poi secondo me nel caso in questione non hanno avuto l'accesso all'intero database, ma solo ai dati di login. Non penso che LinkedIn sia ancora ai livelli da usare un db globale.

    rondinella61
    Post edited by Markov on
  • BlindBlind Colonna
    Pubblicazioni: 2,193
    @Markov era una supposizione (molto approssimativa, lo so :) )
    LinkedIn usa un'autenticazione più robusta ma non tutti i siti lo fanno (specie quelli "home made").

    Comunque, anche solo per curiosità, puoi verificare qui se le tue credenziali sono state individuate e diffuse negli ultimi 2-3 anni:

    https://haveibeenpwned.com



    Markovwoodstock
Accedi oppure Registrati per commentare.
Dona il 5x1000 a Spazio Asperger ONLUS. Codice Fiscale: 97690370586
Un pizzico di autismo? Ma quale? Aiutaci a scoprirlo con la ricerca online