E’ quando succedono cose del genere che tutti i fantasmi degli attacchi futuri tornano a galla.
Le ultime notizie, che si sono protratte a macchia d’olio in poco meno di due giorni, parlano di due attacchi diversi – pur sempre attacchi – ai danni di due grossi servizi che contano milioni e milioni di utenti: stiamo parlando di Snapchat e Skype.
Procediamo con ordine, partendo proprio da Snapchat.
La scorsa settimana una security firm di origine australiana, Gibson Security, aveva pubblicato l’API di Snapchat e ben due exploit che ne dimostravano la vulnerabilità, avvisando così il gruppo amministrativo del servizio riguardo al pericolo in cui si sarebbe potuti incappare.
Pericolo che, purtroppo, puntualmente è diventato realtà: durante la giornata di ieri un gruppo di hacker ha utilizzato una versione modificata degli exploit pubblicati per assestare un vero e proprio attacco hacker. Che ha avuto buon fine.
Il sito in questione recitava quanto segue:
State per scaricare numeri di telefono e nomi utente di 4.6 milioni di utenti. Le persone sono propense ad usare lo stesso username sul web, per cui potrete usare tali informazioni per trovare i numeri di telefono associati agli account Facebook e Twitter, o semplicemente per trovare i numeri delle persone con le quali volete restare in contatto.
Un modo come un altro per spronare gli amministratori di Snapchat a migliorare la sicurezza del sito, spiega il gruppo di hacker – rimasto ovviamente anonimo – in una conversazione con lo staff di Mashable:
La ragione per cui abbiamo rilasciato [username e numeri telefonici] è quella di far diventare il problema un fenomeno pubblico, e mettere pubblicamente sotto pressione Snapchat affinché il bug sia risolto. E’ comprensibile che le startup tecnologiche abbiano risorse limitate, ma la sicurezza e la privacy non dovrebbero essere un obiettivo secondario. La sicurezza conta almeno quanto conta l’esperienza utente.
[…]
Speriamo che Snapchat applichi una patch per l’exploit, e che lo faccia sul serio stavolta… soprattutto dopo aver visto la grossa attenzione che il nostro leak ha ricevuto, crediamo che Snapchat possa essere bersaglio di altri gruppi se non cura con attenzione la sicurezza degli utenti. Ci aspettiamo che Snapchat rilasci una patch come si deve e lo notifichi agli utenti, rassicurandoli inoltre di essere ancora più attenti alle informazioni private in loro possesso.
Secondo il gruppo di integralisti non bisognerebbe usare Skype né qualsiasi altro servizio web appartenente al network Microsoft (tra cui la mail Outlook) poiché subiscono il controllo della NSA.
Il team di Skype assicura comunque che durante questo attacco non vi sarebbe stato accesso alcuno ai dati personali dell’utente, che restano al sicuro.
Checché se ne dica, questi sono altri due casi – specie quello di Snapchat – che fanno riflettere: la raccomandazione è sempre la stessa, usare combinazioni username/password differenti per i diversi siti web e, soprattutto, non vivere con la certezza matematica che i servizi online, anche quelli apparentemente più solidi, siano davvero sicuri.
Purtroppo non è ancora così.
