eBay ha rivelato di aver subito un attacco informatico massiccio che ha compromesso i dati di centoquarantacinque milioni di account utente inclusi nomi, password crittografate, indirizzi email e fisici, numeri di telefono e date di nascita, rendendo questo data breach uno dei pi\u00f9 gravi della storia e esponendo milioni di persone a rischi che vanno dal furto d’identit\u00e0 al phishing mirato basato su informazioni personali dettagliate. Gli hacker hanno ottenuto accesso ai sistemi tra febbraio e marzo 2014 sfruttando credenziali rubate a dipendenti dell’azienda, un vettore d’attacco deprimentemente comune che dimostra quanto il fattore umano rimanga l’anello debole della sicurezza informatica indipendentemente dalle protezioni tecniche implementate. La buona notizia parziale \u00e8 che i dati finanziari e le informazioni delle carte di credito sono conservati su sistemi separati che non risultano compromessi, e che PayPal nonostante sia di propriet\u00e0 eBay mantiene database indipendenti.<\/p>\n
La combinazione di nome, indirizzo email, indirizzo fisico, telefono e data di nascita fornisce agli attaccanti abbastanza informazioni per tentare furto d’identit\u00e0 richiedendo carte di credito o prestiti a nome delle vittime che scoprono il problema solo quando ricevono fatture per debiti che non hanno mai contratto. Le password sono crittografate ma questo offre protezione limitata perch\u00e9 gli hacker possono utilizzare rainbow tables e attacchi di forza bruta offline senza limiti di tentativi per tentare di recuperare le password originali, un processo che richiede tempo ma \u00e8 fattibile specialmente per password deboli o comuni. Il rischio pi\u00f9 insidioso riguarda chi utilizza la stessa password su pi\u00f9 siti perch\u00e9 una volta decrittata la password eBay gli attaccanti possono provarla su email, banche, social media e qualsiasi altro servizio dove la vittima potrebbe aver commesso l’errore comune di riutilizzare le credenziali.<\/p>\n
Gli attaccanti ora dispongono di informazioni sufficienti per creare email di phishing estremamente convincenti indirizzate personalmente alla vittima con riferimenti a dati reali che conferiscono credibilit\u00e0 a richieste che altrimenti sarebbero ignorate come spam generico. Un’email che inizia con il nome corretto, menziona l’indirizzo e fa riferimento ad attivit\u00e0 eBay recenti sembrer\u00e0 legittima anche a utenti normalmente cauti, e il link a un sito falso che richiede di confermare la carta di credito per problemi di sicurezza potrebbe ingannare vittime che in altre circostanze riconoscerebbero il tentativo di frode. Nei prossimi mesi gli utenti eBay devono aspettarsi un aumento significativo di questi tentativi e sviluppare l’abitudine di non cliccare mai link nelle email ma di accedere direttamente ai siti digitando l’indirizzo nel browser.<\/p>\n
Chiunque abbia un account eBay deve cambiare la password immediatamente accedendo direttamente al sito senza seguire link ricevuti via email, scegliendo una password lunga e unica che non viene utilizzata su nessun altro servizio. Se la password eBay era condivisa con altri account questi vanno aggiornati tutti con password diverse per ogni servizio, un processo tedioso ma necessario per limitare i danni di compromissioni future che sono statisticamente inevitabili. L’attivazione della verifica in due passaggi dove disponibile aggiunge un layer di protezione che rende inutile conoscere la password senza accesso anche al secondo fattore tipicamente un telefono. Il controllo regolare degli estratti conto bancari e delle carte di credito per identificare transazioni sospette dovrebbe diventare abitudine permanente.<\/p>\n
L’unico modo pratico per utilizzare password uniche e complesse per ogni servizio senza impazzire nel tentativo di ricordarle tutte \u00e8 adottare un password manager che genera, memorizza e inserisce automaticamente credenziali diverse per ogni sito proteggendole con un’unica master password che deve essere l’unica da memorizzare. LastPass offre una versione gratuita sufficiente per la maggioranza degli utenti, mentre 1Password e Dashlane offrono funzionalit\u00e0 aggiuntive a pagamento per chi preferisce investire nella propria sicurezza. La resistenza ad adottare questi strumenti per timore di mettere tutte le uova nello stesso paniere ignora che il paniere del password manager \u00e8 progettato specificamente per la sicurezza mentre il cervello umano no, e che il rischio di compromissione del manager \u00e8 inferiore al rischio certo di riutilizzo password.<\/p>\n
eBay ha scoperto il breach a inizio maggio ma ha atteso circa due settimane prima di informare il pubblico, un ritardo che ha permesso agli attaccanti di sfruttare i dati rubati prima che le vittime potessero proteggersi cambiando password e aumentando la vigilanza. La comunicazione iniziale era confusa senza istruzioni chiare su cosa fare, e il reset password forzato \u00e8 arrivato solo dopo le critiche lasciando gli utenti esposti pi\u00f9 a lungo del necessario. Questa gestione della crisi solleva dubbi sulla preparazione dell’azienda per incidenti di sicurezza e sulla priorit\u00e0 data alla protezione degli utenti rispetto alla gestione della reputazione, errori che si ripetono deprimentemente in breach dopo breach perch\u00e9 le aziende continuano a sottovalutare la probabilit\u00e0 di essere attaccate fino a quando non succede.<\/p>\n
eBay si aggiunge a una lista crescente di aziende major che hanno subito breach devastanti inclusi Adobe con centocinquantatre milioni di account, Target con centodieci milioni di carte di credito, e innumerevoli altri che dimostrano che nessuna organizzazione \u00e8 immune indipendentemente dalle dimensioni o dalle risorse dedicate alla sicurezza. La superficie d’attacco delle aziende moderne \u00e8 enorme con migliaia di dipendenti che possono essere target di phishing, sistemi legacy che non ricevono patch, fornitori terzi con accesso ai sistemi, e budget per la sicurezza che raramente riflettono l’importanza dei dati protetti. Gli utenti devono accettare che i propri dati online non sono mai completamente sicuri e comportarsi di conseguenza minimizzando ci\u00f2 che condividono, usando credenziali uniche, e monitorando attivamente i propri account per attivit\u00e0 sospette.<\/p>\n
Per le aziende il breach eBay ricorda l’importanza di crittografia robusta per le password usando algoritmi come bcrypt invece di hash deboli come MD5, segmentazione delle reti che limita cosa un attaccante pu\u00f2 raggiungere anche dopo aver compromesso un dipendente, monitoraggio che rileva pattern anomali di accesso prima che il danno sia completo, e piani di comunicazione pronti per rispondere rapidamente quando prevenzione fallisce. Per gli utenti le lezioni sono password uniche per ogni servizio, password manager per gestirle, verifica in due passaggi ovunque disponibile, minimizzazione dei dati condivisi online, e vigilanza costante per attivit\u00e0 sospette nei propri account. La sicurezza online \u00e8 responsabilit\u00e0 condivisa tra chi custodisce i dati e chi li affida, e il breach eBay dimostra cosa succede quando questa responsabilit\u00e0 non viene presa sufficientemente sul serio da entrambe le parti.<\/p>\n
<\/p>\n