eBay ha rivelato di aver subito un attacco informatico massiccio che ha compromesso i dati di centoquarantacinque milioni di account utente inclusi nomi, password crittografate, indirizzi email e fisici, numeri di telefono e date di nascita, rendendo questo data breach uno dei più gravi della storia e esponendo milioni di persone a rischi che vanno dal furto d’identità al phishing mirato basato su informazioni personali dettagliate. Gli hacker hanno ottenuto accesso ai sistemi tra febbraio e marzo 2014 sfruttando credenziali rubate a dipendenti dell’azienda, un vettore d’attacco deprimentemente comune che dimostra quanto il fattore umano rimanga l’anello debole della sicurezza informatica indipendentemente dalle protezioni tecniche implementate. La buona notizia parziale è che i dati finanziari e le informazioni delle carte di credito sono conservati su sistemi separati che non risultano compromessi, e che PayPal nonostante sia di proprietà eBay mantiene database indipendenti.
I rischi concreti per gli utenti colpiti
La combinazione di nome, indirizzo email, indirizzo fisico, telefono e data di nascita fornisce agli attaccanti abbastanza informazioni per tentare furto d’identità richiedendo carte di credito o prestiti a nome delle vittime che scoprono il problema solo quando ricevono fatture per debiti che non hanno mai contratto. Le password sono crittografate ma questo offre protezione limitata perché gli hacker possono utilizzare rainbow tables e attacchi di forza bruta offline senza limiti di tentativi per tentare di recuperare le password originali, un processo che richiede tempo ma è fattibile specialmente per password deboli o comuni. Il rischio più insidioso riguarda chi utilizza la stessa password su più siti perché una volta decrittata la password eBay gli attaccanti possono provarla su email, banche, social media e qualsiasi altro servizio dove la vittima potrebbe aver commesso l’errore comune di riutilizzare le credenziali.
Phishing mirato con dati reali
Gli attaccanti ora dispongono di informazioni sufficienti per creare email di phishing estremamente convincenti indirizzate personalmente alla vittima con riferimenti a dati reali che conferiscono credibilità a richieste che altrimenti sarebbero ignorate come spam generico. Un’email che inizia con il nome corretto, menziona l’indirizzo e fa riferimento ad attività eBay recenti sembrerà legittima anche a utenti normalmente cauti, e il link a un sito falso che richiede di confermare la carta di credito per problemi di sicurezza potrebbe ingannare vittime che in altre circostanze riconoscerebbero il tentativo di frode. Nei prossimi mesi gli utenti eBay devono aspettarsi un aumento significativo di questi tentativi e sviluppare l’abitudine di non cliccare mai link nelle email ma di accedere direttamente ai siti digitando l’indirizzo nel browser.
Le azioni immediate necessarie
Chiunque abbia un account eBay deve cambiare la password immediatamente accedendo direttamente al sito senza seguire link ricevuti via email, scegliendo una password lunga e unica che non viene utilizzata su nessun altro servizio. Se la password eBay era condivisa con altri account questi vanno aggiornati tutti con password diverse per ogni servizio, un processo tedioso ma necessario per limitare i danni di compromissioni future che sono statisticamente inevitabili. L’attivazione della verifica in due passaggi dove disponibile aggiunge un layer di protezione che rende inutile conoscere la password senza accesso anche al secondo fattore tipicamente un telefono. Il controllo regolare degli estratti conto bancari e delle carte di credito per identificare transazioni sospette dovrebbe diventare abitudine permanente.
Password manager come soluzione
L’unico modo pratico per utilizzare password uniche e complesse per ogni servizio senza impazzire nel tentativo di ricordarle tutte è adottare un password manager che genera, memorizza e inserisce automaticamente credenziali diverse per ogni sito proteggendole con un’unica master password che deve essere l’unica da memorizzare. LastPass offre una versione gratuita sufficiente per la maggioranza degli utenti, mentre 1Password e Dashlane offrono funzionalità aggiuntive a pagamento per chi preferisce investire nella propria sicurezza. La resistenza ad adottare questi strumenti per timore di mettere tutte le uova nello stesso paniere ignora che il paniere del password manager è progettato specificamente per la sicurezza mentre il cervello umano no, e che il rischio di compromissione del manager è inferiore al rischio certo di riutilizzo password.
La risposta inadeguata di eBay
eBay ha scoperto il breach a inizio maggio ma ha atteso circa due settimane prima di informare il pubblico, un ritardo che ha permesso agli attaccanti di sfruttare i dati rubati prima che le vittime potessero proteggersi cambiando password e aumentando la vigilanza. La comunicazione iniziale era confusa senza istruzioni chiare su cosa fare, e il reset password forzato è arrivato solo dopo le critiche lasciando gli utenti esposti più a lungo del necessario. Questa gestione della crisi solleva dubbi sulla preparazione dell’azienda per incidenti di sicurezza e sulla priorità data alla protezione degli utenti rispetto alla gestione della reputazione, errori che si ripetono deprimentemente in breach dopo breach perché le aziende continuano a sottovalutare la probabilità di essere attaccate fino a quando non succede.
Un problema sistemico dell’industria
eBay si aggiunge a una lista crescente di aziende major che hanno subito breach devastanti inclusi Adobe con centocinquantatre milioni di account, Target con centodieci milioni di carte di credito, e innumerevoli altri che dimostrano che nessuna organizzazione è immune indipendentemente dalle dimensioni o dalle risorse dedicate alla sicurezza. La superficie d’attacco delle aziende moderne è enorme con migliaia di dipendenti che possono essere target di phishing, sistemi legacy che non ricevono patch, fornitori terzi con accesso ai sistemi, e budget per la sicurezza che raramente riflettono l’importanza dei dati protetti. Gli utenti devono accettare che i propri dati online non sono mai completamente sicuri e comportarsi di conseguenza minimizzando ciò che condividono, usando credenziali uniche, e monitorando attivamente i propri account per attività sospette.
Lezioni che aziende e utenti dovrebbero imparare
Per le aziende il breach eBay ricorda l’importanza di crittografia robusta per le password usando algoritmi come bcrypt invece di hash deboli come MD5, segmentazione delle reti che limita cosa un attaccante può raggiungere anche dopo aver compromesso un dipendente, monitoraggio che rileva pattern anomali di accesso prima che il danno sia completo, e piani di comunicazione pronti per rispondere rapidamente quando prevenzione fallisce. Per gli utenti le lezioni sono password uniche per ogni servizio, password manager per gestirle, verifica in due passaggi ovunque disponibile, minimizzazione dei dati condivisi online, e vigilanza costante per attività sospette nei propri account. La sicurezza online è responsabilità condivisa tra chi custodisce i dati e chi li affida, e il breach eBay dimostra cosa succede quando questa responsabilità non viene presa sufficientemente sul serio da entrambe le parti.
