Alfonso Maruccia

Cyber-insicurezza, milioni di dati online

Il sito di donazioni Patron conferma di aver subito un accesso non autorizzato al database degli utenti, e i dati sono subito finiti in Rete. Vittime di brecce anche T-Mobile e Scottrade

Roma - L'autunno comincia male, anzi malissimo per quel che riguarda la sicurezza online, con tre popolari servizi che denunciano, quasi in contemporanea, di aver subito una grave breccia di sicurezza (diretta o indiretta) e la conseguente compromissione dei dati sensibili appartenenti agli utenti.

Si comincia con Patreon, sito di crowdfunding che raccoglie donazioni fisse mensili per il supporto di artisti o siti Web: il database contenente le informazioni degli utenti è stato compromesso, ha denunciato la società, esponendo alla mercé dei cyber-criminali nomi, indirizzi email, post e persino indirizzi di spedizione dei partecipanti al sistema di donazioni.

I dati delle carte di credito sono al sicuro, sostiene Patreon, le password cifrate dovrebbero esserlo altrettanto ma i 15 Gigabyte di dati rubati nella breccia sono finiti subito online: oltre alle email degli utenti, il pacchetto include anche il codice sorgente del sito. E quel che è peggio è che la colpa dell'accaduto è di Patreon stessa, che avevo reso accessibile al pubblico una versione di debug del codice quasi una settimana prima dell'hack.
Dopo Patreon è stata la volta di T-Mobile denunciare una breccia, anche se in questo caso si tratta dei sistemi della società esterna Experian specializzata nella raccolta dei dati. Sia come sia, 15 milioni di utenti nordamericani (abbonatisi a T-Mobile fra l'1 settembre 2013 e il 16 settembre 2015) devono ora fare i conti con il rischio di compromissione per nomi, indirizzi e numero della social security USA.

Conclude l'elenco delle violazioni informatiche di inizio ottobre Scottrade, società americana di trading che dice di "aver saputo" dalle autorità federali di essere stata compromessa: in questo caso si parla dell'esposizione delle informazioni personali di 4,6 milioni di utenti - nomi, indirizzi email, numeri della social security e altre informazioni sensibili - per una breccia avvenuta tra la fine del 2013 e l'inizio del 2014.

Alfonso Maruccia
Notizie collegate
  • AttualitàCLUSIT, il cyber-crimine è una garanziaIl nuovo rapporto italiano sullo stato di salute della sicurezza informatica ha tanti numeri in crescita, tutti poco confortanti: gli attacchi non si possono più evitare, occorre migliorare le difese per scongiurare il peggio
  • SicurezzaOPM, disastro biometrico sul lungo periodoLa breccia nei sistemi delle autorità federali statunitensi continua a produrre i suoi frutti avvelenati: le dimensioni del bottino sono più gravi di quelle descritte inizialmente e i dati biometrici rubati preoccupano
  • Diritto & InternetAshley Madison, denunce come se piovesseFornitori di hosting e siti che promettono dettagli sulle identità rubate sono stati chiamati in causa per ripagare i danni inferti agli utenti, anche se della ripubblicazione di dati personali non c'è traccia
2 Commenti alla Notizia Cyber-insicurezza, milioni di dati online
Ordina
  • (consiglierei di correggere il nome usato nel titolo), ci sono finiti di mezzo pure i messaggi privati, che ora saranno sicuramente pubblici.
    Spero che non abbiano trafugato anche i file che vengono messi li dai vari disegnatori, sarebbe un bel problemino, per un sito che negli ultimi mesi si è fatto conoscere tra i disegnatori.
  • - Scritto da: Sg@bbio
    > (consiglierei di correggere il nome usato nel
    > titolo), ci sono finiti di mezzo pure i messaggi
    > privati, che ora saranno sicuramente
    > pubblici.
    > Spero che non abbiano trafugato anche i file che
    > vengono messi li dai vari disegnatori, sarebbe un
    > bel problemino, per un sito che negli ultimi mesi
    > si è fatto conoscere tra i
    > disegnatori.
    io inizierei a metter via dei $$ per gli azzeccagarbugliCon la lingua fuori.... la cosa buona e' che (dicono) di non aver salvato alcuna c/c..... perche' per il resto andiamo malino ... server (pare di dev/test) con opzione debug attiva (che ha permesso l'RCE) ed esposto al pubblico, con uno snapshot dei sorci... e db utenti...... il bcrypt potrebbe non salvare nessuno, SE hanno pasticciato come quelli di Ashley madison ....

    [ cmq non ho seguito il caso.. tanto db + db - ..... gh ]
    non+autenticato