Mauro Vecchio

IEEE, la grande fuga delle password

Per più di un mese le credenziali d'accesso di 100mila membri dell'istituto sono rimaste visibili sui server FTP. Tappata la falla, ma grande imbarazzo

Roma - Più di 100 gigabyte di dati sfuggiti al controllo dei server gestiti dall'Institute of Electrical and Electronics Engineers (IEEE), la più vasta organizzazione professionale nella comunità dell'ingegneria elettronica. Username, password e cronologie di navigazione di oltre 100mila membri dell'associazione statunitense, tra cui dipendenti di colossi high-tech come Apple, IBM e Google.

A scoprire la massiccia fuga di dati è stato Radu Dragusin, assistente di cattedra alla University of Copenhagen. Stando alla ricostruzione offerta dal ricercatore danese, le credenziali d'accesso dei 100mila membri di IEEE sarebbero state a disposizione di tutti sui server FTP dell'organizzazione con base a New York. Dragusin ha sottolineato come il pacchetto di dati fosse pubblico da un mese abbondante.

Preoccupazione nella comunità scientifica, a causa di un incidente imbarazzante per un'organizzazione di ingegneri. Ad infierire ci ha pensato lo stesso Dragusin, che ha pubblicato in un grafico le password più comuni tra gli account di IEEE. Incredibilmente, la sequenza numerica 123456 viene utilizzata quasi 300 volte, seguita a ruota da password e ieee2012.
Contattati dal ricercatore danese, i tecnici di IEEE hanno ammesso l'errore nella banale protezione dei log file contenenti username e password. Il buco nei server FTP sarebbe ora stato tappato, con la conseguente cifratura dei file. C'è chi ha comunque bacchettato l'istituto statunitense per aver lasciato in chiaro le informazioni relative agli accessi di migliaia di membri.

Mauro Vecchio
Notizie collegate
  • SicurezzaYahoo!, 400mila password in circolazionePubblicate le credenziali di accesso in chiaro degli utenti. In segno di protesta per la mancanza di sicurezza. Nei guai anche Formspring: che ha deciso di far cambiare password a tutti i suoi utenti
  • AttualitàPassword rubate anche su Last.fmIl servizio musicale è l'ultima vittima della settimana. Un'unica regia dietro questo e i casi Linkedin ed eHarmony? Sta indagando anche l'FBI
  • Digital LifePassword, uguali e banaliLe chiavi d'accesso hanno un basso livello di sicurezza, sopratutto in Italia. I più attenti sono gli over 55, i tedeschi e i sudcoreani. Uno studio condotto su 70 milioni di account Yahoo!
19 Commenti alla Notizia IEEE, la grande fuga delle password
Ordina
  • Ma è esattamente la stessa distribuzione delle password che hanno trovato quando hanno bucato YouPorn!
  • Io non mi capacito di come ancora ci siano realta' che salvano le password in chiaro.

    Le password devono essere sempre criptate.

    E' assurdo che da qualunque parte vi sia un luogo con le password in chiaro.
  • - Scritto da: panda rossa
    > Io non mi capacito di come ancora ci siano
    > realta' che salvano le password in
    > chiaro.
    >

    già..
    non+autenticato
  • Concordo in pieno.
    Si potrebbe anche discutere sul fatto che l'utente medio si ostini ad usare password come 123456!!!
    non+autenticato
  • - Scritto da: underpaid_d eveloper
    > Concordo in pieno.
    > Si potrebbe anche discutere sul fatto che
    > l'utente medio si ostini ad usare password come
    > 123456!!!

    L'utente medio puo' usare la password che gli pare: i sistemi per difendersi da un brute force attack ci sono.

    Ma se uno adotta una password anti brute force, ma il server la salva in chiaro e poi si fa bucare, come ti difendi?
  • Per entrare sul server devi sapere la password, quindi anche se è salvata in chiaro, il cracker non arriva a vederla in quanto il db sta dietro la stessa.
    Io sottolineavo il fatto che una password idiota è più pericolosa della password in chiaro.
    Un craker di media intelligenza non tenta un brute force attack generando password casuali, ma creando uno script ad-hoc che pesca da un "dizionario"
    delle password più comuni.
    Indovina qual'è la prima password che prova? Esatto!!
    non+autenticato
  • - Scritto da: underpaid_d eveloper
    > Per entrare sul server devi sapere la password,
    > quindi anche se è salvata in chiaro, il cracker
    > non arriva a vederla in quanto il db sta dietro
    > la
    > stessa.
    > Io sottolineavo il fatto che una password idiota
    > è più pericolosa della password in
    > chiaro.
    > Un craker di media intelligenza non tenta un
    > brute force attack generando password casuali, ma
    > creando uno script ad-hoc che pesca da un
    > "dizionario"
    > delle password più comuni.
    > Indovina qual'è la prima password che prova?
    > Esatto!!
    Per evitare le password troppo stupide si può testarle (i sistemi di feedback ci sono e lavorano bene) e rifiutarle...
    Certo ci sono anche i generatori di password che risolvono in maniera "draconiana" la questione ma agli utenti in genere non piace....
    non+autenticato
  • La regola è semplice:
    - Minimo 6 caratteri
    - Obbigo di maiuscoe + minuscole
    - Obbligo di caratteri speciali

    Regola numero 2:
    Meglio un cliente scontento che un cliente derubato
    non+autenticato
  • - Scritto da: underpaid_d eveloper
    > La regola è semplice:
    > - Minimo 6 caratteri
    > - Obbigo di maiuscoe + minuscole
    > - Obbligo di caratteri speciali
    >
    > Regola numero 2:
    > Meglio un cliente scontento che un cliente
    > derubato

    più obbligo di numeri ma minimo 8 caratteriSorride
    non+autenticato
  • - Scritto da: panda rossa
    > Io non mi capacito di come ancora ci siano
    > realta' che salvano le password in
    > chiaro.
    >
    > Le password devono essere sempre criptate.

    Purtroppo io non mi meraviglio più di nulla
    Mi capita (facendo l'auditor di sicurezza in varie aziende e enti) di vedere cose a cui davvero non vorresti ne credere ne vedere...

    E molto spesso il problema non è quello che in questi posti non ci sia gente competente.

    In genere il problema è che le responsabilità e le procedure vengono affidati in base a organigrammi parental-amicali o (peggio) sulla base della "fedeltà" al capo...

    E i competenti invece fuori dalle balle almeno fino a che non hanno fatto e completato il dovuto "corso di paraculismo organizzativo" (non saprei come meglio definire le cose) in modo da far si che non rompano le balle!
    non+autenticato
  • Standing ovation.

    Purtroppo.
  • mmm, il problema non erano le password in chiaro o meno ma che venivano scritte nei log (il nome utente ci sta, ma la password?!?!?!)

    comunque il discorso password va preso con le pinze:
    - se ti serve avere le password non reversibili vai con un hash o un hmac-hash e sei tranquillo;
    - se ti serve la password reversibile allora la situazione è differente perché visto che il sistema informatico deve essere in grado di avere l'originale per operare sei punto accapo ... certo eviti che il ragazzino ottenga in chiaro le credenziali di accesso, ma una volta che il sistema viene bucato a fare un bel tar della root (escludendo dev, proc, sys, tmp, var/tmp, var/run e via dicendo) e scaricarselo non ci vuole poi moltoSorride

    PS: mi sembra chiaro che in un contesto la cifratura rsa non serve visto che la chiave necessaria alla decodifica dovrebbe comunque essere presente sul server visto che serve in chiaro a lui

    PPS: per "servire in chiaro la password" intendo che possibilmente il software magari opera in un contesto in cui deve comunicare le credenziali ad un servizio esterno (verso un server interno o verso un altro server esterno alla rete) e quindi non si può fare molto (dipende dal sistema a cui si comunicano le credenziali ... ovviamente ci sono sempre delle possibilità ma se il sistema esterno non è adatto c'è poco che fare)

    PPPS: in questo caso è negligenza pura e bastaSorride

    - Scritto da: panda rossa
    > Io non mi capacito di come ancora ci siano
    > realta' che salvano le password in
    > chiaro.
    >
    > Le password devono essere sempre criptate.
    >
    > E' assurdo che da qualunque parte vi sia un luogo
    > con le password in
    > chiaro.
    non+autenticato