Mirko Zago

Opera Sync ha subito un attacco

L'azienda impone un cambio di password al milione e mezzo di utenti del servizio di sincronizzazione. La breccia Ŕ stata arginata e i dati sono cifrati

Roma - Parte dei sistemi di Opera, l'azienda del noto browser, hanno subito un attacco informatico nei giorni scorsi che potrebbe aver messo a repentaglio i dati degli utenti del proprio servizio Opera Sync. L'azienda fa sapere che nonostante i dati gestiti siano criptati e quindi protetti, ha preferito resettare tutte le password per garantire maggior sicurezza agli utenti del proprio servizio, a cui è stato inviato un messaggio via email per informare dell'incidente e chiedendo di provvedere al cambio password oltre che suggerire di modificare anche le password eventualmente utilizzate per accedere a servizi di terze parti sincronizzati con Opera Sync.

Opera attacco hacker

Opera Sync è un sistema online in grado di sincronizzare i dati "adoperati" per la navigazione così da agevolare la fruizione del web da più sistemi. Grazie a questo sistema è possibile accedere infatti ai siti preferiti, ai segnalibri e sfruttare informazioni memorizzate su qualsiasi dispositivo utilizzato, smartphone, tablet o pc. Gli utenti attivi nell'ultimo mese su Opera sync sono stati 1,7 milioni pari ad una percentuale inferiore allo 0,5 per cento della base utenti totale di Opera, che conta oltre 350 milioni di persone. Si tratterebbe quindi di un potenziale a rischio comunque molto basso.

La comunicazione dell'attacco è avvenuta a breve distanza dall'imposizione di Dropbox per i suoi utenti di reimpostare la password nel caso questa non sia mai stata cambiata dal 2012. Qualcuno ha visto in questa decisione una correlazione con il grande attacco sferrato a Linkedin proprio nel 2012 che ha visto le credenziali di oltre 117 milioni di utenti essere rese pubbliche.
Solo un mese fa, è stata ufficializzata la cessione del browser Opera oltre che le app per la privacy e altre attività dell'azienda al consorzio cinese di cui fa parte Qihoo 360 per un valore di 600 milioni di dollari. Opera continua a detenere il 10 per cento di quota di mercato nel settore della telefonia mobile forte delle sue innovazioni tra le quali si contano l'inserimento di ad blocker, funzioni di compressione video e dati e un servizio VPN. Nonostante ciò la sua quota totale è molto più modesta (1,9 per cento).áVista l'attenzione ai servizi e al tema della sicurezza è probabile che il nuovo management sia intenzionato a far crescere il prodotto scalando poco per volta il mercato. Al momento ha quattro competitor che la precedono: Safari, Firefox, Chrome e in prima posizioneáil browser di casa Microsoft, Internet Explorer e il suo erede Edge.

Mirko Zago

fonte immagine
Notizie collegate
57 Commenti alla Notizia Opera Sync ha subito un attacco
Ordina
  • Non si sono fatti attendere eh!

    Stamattina 2 tentativi di accesso ala Gmail notificati al cellulare dal Google, che non li ha fatti accedere senza il codice spedito a me via sms.

    Tentativi di accesso a Paypal, ma lì non metto password perché uso un algoritmo mentale per generarla.

    Ho cambiato anche quella di Amazon, eBay e altri siti importanti.

    Avevo iniziato ad usare Opera perché era molto interessante, veloce e pieno di funzioni utili. Ma questa cosa che gli hanno scardinato il Sync delle password non va bene.

    Chi era quel cretino che ha tutte le password al sicuro nel cloud?
    iRoby
    7801
  • Mi è venuta un'idea per un plugin favoloso...
    Da mettere su Chrome, Opera e Firefox.

    Che ti salva le password e i dati per i form, la cronologia, i bookmark.
    Ma li salva nel tuo cloud, in un webservice che ti installi su un tuo server LAMP o un NAS con funzione LAMP.

    Restano a te, la sicurezza te la gestisci tu. Non vieni profilato, ecc.
    E dulcis in fundo se viene scardinato da cracker non prendono i dati di milioni di utenti come avviene con Opera, Chrome, Firefox. Ergo se gli attacker devono sbattersi per un solo account per volta non gli interessa. Anche perché prima devono sapere che ce n'é uno su ogni serverino casalingo o hosting internet locale.
    iRoby
    7801
  • non voglio stroncare la tua idea, che alla peggio sarebbe un buon esercizio di programmazione. ma, senza nulla togliere alle tue competenze, mi fido di più di aziende affermate con esperti di sicurezza che lavorano 8h al giorno in quell'ambito e non per hobby nel weekend. inoltre se mi si allaga la cantina perdo server e dati, quindi molto meglio un solido servizio cloud. i password managers online sono sicurissimi, se gli hacker rubassero l'archivio si troverebbero in mano dei byte cifrati, basta non usare "123456" come pwd principale.
    non+autenticato
  • - Scritto da: iRoby
    > Mi è venuta un'idea per un plugin favoloso...
    > Da mettere su Chrome, Opera e Firefox.
    >
    > Che ti salva le password e i dati per i form, la
    > cronologia, i
    > bookmark.
    > Ma li salva nel tuo cloud, in un webservice che
    > ti installi su un tuo server LAMP o un NAS con
    > funzione
    > LAMP.

    Che quindi è esposto... Come lo proteggi? Sentiamo...

    PS: comunque NON è un cloud! IL Cloud NON è una hard disk su internet!!!!

    >
    > Restano a te, la sicurezza te la gestisci tu. Non
    > vieni profilato,
    > ecc.

    Sentiamo come te la gestisci la sicurezza... Con un Raspino? Rotola dal ridere

    > E dulcis in fundo se viene scardinato da cracker
    > non prendono i dati di milioni di utenti come
    > avviene con Opera, Chrome, Firefox. Ergo se gli
    > attacker devono sbattersi per un solo account per
    > volta non gli interessa. Anche perché prima
    > devono sapere che ce n'é uno su ogni serverino
    > casalingo o hosting internet
    > locale.

    Si ma peccato che a te te ne può fregare di meno se hackerano altri, credo (ma "credo") interesserà solo il fatto che i tuoi dati sono andati... Quindi, ripeto la domanda: come li proteggiamo in un modo più sicuro di un servizio come AWS, Azure o Softlayer?
    non+autenticato
  • Questa tua propaganda al cloud è stucchevole.
  • - Scritto da: Sg@bbio
    > Questa tua propaganda al cloud è stucchevole.

    Non è propaganda, io NON vendo nessun servizio Cloud, e nemmeno ci lavoro sul Cloud.

    Semplicemente c'è gente qui che fa "il brillante", "l'espertone", fornendo soluzioni, come se fossero tutti stupidi e loro più intelligenti, come se fosse banale la soluzione a dei problemi, dimostrando che non sanno nemmeno di cosa parlano.

    Altri invece dicono "non è sicuro"; io poi faccio delle domande, per chiedere perché non è sicuro; ma stranamente non arrivano le risposte... O meglio, si gira intorno senza portare fatti concreti, motivi (dettagliati e tangibili, esempi, conseguenze ecc.) del perché una cosa sarebbe meno sicura di un'altra...

    La gente che parla senza nemmeno sapere di cosa si sta parlando, per me, è stucchevole... Ficoso
    non+autenticato
  • Non si parla di sicurezza.
    Ma di privacy.
    Se dai le tue password ad un sistema cloud, le dai anche al governo dove risiede l'azienda che ti da il servizio, e questo vero nel 90% delle nazioni, escluso giusto forse Costa Rica, Butan e pochi altri che non hanno deciso di spiare enormi masse di individui.
    iRoby
    7801
  • - Scritto da: iRoby
    > Mi è venuta un'idea per un plugin favoloso...
    > Da mettere su Chrome, Opera e Firefox.
    >
    > Che ti salva le password e i dati per i form, la
    > cronologia, i bookmark.
    > Ma li salva nel tuo cloud, in un webservice che
    > ti installi su un tuo server LAMP o un NAS con
    > funzione LAMP.

    Ottimo esercizio, ma tanta fatica per cosa?

    Mi sembra più semplice un plugin che ti salva tutte le informazioni che hai citato in un archivio criptato per benino - e magari nella stessa cartella ci salvi pure le password gestite con KeePass[X].

    Poi sincronizzi la cartella, che a 'sto punto contiene solo file criptati, con qualche file cabinet possibilmente criptato anche lui - Mega, Boole al limite pure Dropbox - e vivi tranquillo, senza starti a preoccupare di dover gestire un cabinet privato su una macchina esposta su Internet.

    Se schiantano il provider, tu hai comunque tutto in locale, e i dati trafugati criptati.
  • sincronizza i favoriti ma per quel che so le pass le devo rimettere su ogni dispositivo che uso
    non+autenticato
  • google è fatto per cercare...

    http://help.opera.com/opera/Windows/1967/it/sync.h...

    I segnalibri, le voci di Accesso Rapido, la cronologia, le password , le preferenze vengono trasferite all'account di Opera e sincronizzate con gli altri dispositivi con cui si effettua l'accesso.
    non+autenticato
  • Infatti io non memorizzo mai la password di servizi finanziari, cioè l'homebanking, paypal, ma anche siti dove potrebbero comprare usando la mia carta memorizzata, tipo Amazon, alcuni negozi di elettronica ecc.
    iRoby
    7801
  • anche io non le salvo, perchè sono al sicuro in un password manager online, tutto sincronizzato tra i miei dispositivi. così posso usare per ognuno di questi siti password uniche e complesse.
    non+autenticato
  • No io non le faccio memorizzare manco al password manager.
    Perché non le devo memorizzare. Ma uso un algoritmo mentale per recuperarle, dove uno dei semi è il nome del sito più una serie di regole, tipo il camel, l'uso di alcuni caratteri non alfanumerici ecc.

    Quindi il wallet è la mia mente.
    iRoby
    7801
  • precisiamo innanzitutto che Opera, come Chrome, permettono di sincronizzare i dati sensibili usando una passphrase conosciuta solo all'utente. di default questa modalità è disattiva perchè se l'utente dimentica la passphrase ha perso tutto. ma se l'utente sa usare il cloud, la attiva e vive felice e sincronizzato.

    detto questo io ho tutto sul cloud: documenti personali, password, carte di credito, ecc. meglio che averle a casa, così se arrivano i ladri, un incendio, un terremoto o un'alluvione mi perdo tutto in 5 minuti. nel cloud non devo preoccuparmi dei backup, se mi si rompe un pc accedo con un altro.

    aprite gli occhi, questo è il futuro!
    non+autenticato
  • ti rispondo qui, una sola volta, per non riempire il forum di commenti deliranti come hai fatto tu.

    se ti rubano il pc hanno comunque accesso ai servizi cloud che hai configurato sul pc stesso, il cloud non ti da nessuna garanzia in più dei dati salvati in locale. l'unica garanzia è infatti la password del dispositivo. avendo i dati nel cloud sei inoltre esposto ad attacchi mirati di gruppi hacker ben più pericolosi del ladruncolo di quartiere.

    se capita un incendio, alluvione o terremoto ho problemi ben più gravi, primo tra tutti salvare la mia pelle e quella dei miei cari.
    non+autenticato
  • - Scritto da: il tacchino
    > ti rispondo qui, una sola volta

    io anche ti rispondo qui è stop, perchè tu sei rimasto a quest'epoca (mia nonna di 90 anni ha una mentalità più moderna)

    Clicca per vedere le dimensioni originali
    non+autenticato
  • Ma smettila di dare dell'arretrato a chi vuole preservare la sua privacy.
    Fai solo la figura del cretino pro-corporation.

    Il futuro che tu decanti, è solo tecnocontrollo, profilazione e spionaggio.

    E tu o non l'hai capito, o sei un po' ritardato, o sei a favore di questa cosa.

    Ti racconto una storia. Su pressioni di una certa famiglia che produce autoveicoli in Italia, ci hanno fatto dismettere i tram e metà linea ferroviaria, perché il futuro erano gli autobus e i camion. Il trasporto su ruote diesel.

    Bene oggi cosa ne pensi dell'inquinamento e del traffico prodotti da questi mezzi? Era il futuro, c'erano persone come te che andavano a sfottere chi voleva i trasporti elettrici su rotaia.
    -----------------------------------------------------------
    Modificato dall' autore il 30 agosto 2016 11.10
    -----------------------------------------------------------
    iRoby
    7801
  • - Scritto da: iRoby
    > Ti racconto una storia. Su pressioni di una certa
    > famiglia che produce autoveicoli in Italia, ci
    > hanno fatto dismettere i tram e metà linea
    > ferroviaria, perché il futuro erano gli autobus e
    > i camion. Il trasporto su ruote
    > diesel.
    >
    > Bene oggi cosa ne pensi dell'inquinamento e del
    > traffico prodotti da questi mezzi? Era il futuro,
    > c'erano persone come te che andavano a sfottere
    > chi voleva i trasporti elettrici su
    > rotaia.

    l'italia è un mondo a se, fatto di mafia e corruzione. il resto del mondo punta sul cloud, io ho fatto la mia scelta e ne traggo enormi benefici, tu installati pure un datacenter in cantina.
    non+autenticato
  • - Scritto da: il tacchino
    > se ti rubano il pc hanno comunque accesso ai
    > servizi cloud che hai configurato sul pc stesso,
    > il cloud non ti da nessuna garanzia in più dei
    > dati salvati in locale. l'unica garanzia è
    > infatti la password del dispositivo. avendo i
    > dati nel cloud sei inoltre esposto ad attacchi
    > mirati di gruppi hacker ben più pericolosi del
    > ladruncolo di quartiere.

    E non basta: se succede qualcosa al cloud, buonanotte al secchio (Megaupload, anyone?).

    Se esce qualche legge che prevede l'obbligo dei provider di garantire l'accesso a un qualsiasi governo, dai pure l'addio alla tua privacy e ai tuoi segreti industriali - SaaS, PaaS o IaaS non fa alcuna differenza.

    Se sfondano il provider e riescono ad accedere ai sistemi su cui girano le istanze dei client, stessa cosa.

    Se il provider fallisce, addio. E parecchi sono i problemi di chi vuole passare da un provider ad un altro, per ottenere i propri dati.

    Il cloud ha degli innegabili vantaggi: niente più backup, niente più data recovery, niente più replicazione - pensano a tutto loro.

    Ma hai altri problemi, a partire da quelli normativi di privacy, e il livello di rischio a cui ti sottoponi è tanto alto quanto poco visibile a prima vista.

    Per un'azienda che non sia piccolissima o enorme, oggi la soluzione più sensata mi sembra il cloud privato con replicazione e overflow su cloud pubblico - almeno, la roba tua resta in casa tua, e se si schianta il provider non perdi granché.
    -----------------------------------------------------------
    Modificato dall' autore il 31 agosto 2016 09.15
    -----------------------------------------------------------
  • molti sentono parlare di AES256, PBKDF2, ecc, non sanno cosa sono ma si sentono sicuri... se uno scrivesse che usa AES1024 tutti passerebbero ad usare quel servizio.

    ma la crittografia è come un giubbotto antiproiettile, è valida finché tiene. contro una mitragliatrice o un fucile di precisione di medio calibro tanti auguri al giubbotto antiproiettile. poi ci sono i giubbotti antiproiettile fallati che fanno passare un colpo di pistola o una rosa di pallini.

    il cloud è lo stesso... siete ancora convinti che sia sicuro usarlo?
    non+autenticato
  • L'esempio calza.

    Qui è quanto riportato da un famoso pen-tester sui pwd-managers: https://twitter.com/taviso/status/7693780522540154...

    Il tweet si commenta da solo.

    Se poi si va a cercare tra i suoi altri tweet, Tavis consiglia di usare Keepass(X) o PwSafe perchè sono semplici, hanno meno feature (inutili) risetto agli altri e quindi meno punti di attacco. In più sono offline e opensource.
    non+autenticato
  • ma adesso i geek qui presenti, che vogliono avere le passwords a disposizione anche sul display della lavatrice, diranno che Ormandy non capisce nulla.

    Rotola dal ridereRotola dal ridere
    non+autenticato
  • se l'utente medio non sa usare gli strumenti non dovrebbe comprarsi neppure un coltello da cucina, Ormandy dice questo: più ci sono funzionalità più l'utente incapace fa danni.

    http://punto-informatico.it/b.aspx?i=4336142&m=433...
    non+autenticato
  • - Scritto da: il tacchino
    > se uno scrivesse che usa AES1024 tutti
    > passerebbero ad usare quel servizio.

    Rotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: ultimo tanga a parigi

    > Rotola dal ridereRotola dal ridere

    ridi ridi, io ho tutto nella nuvola e sono molto più al sicuro di quanto tu e gli altri crediate.

    http://punto-informatico.it/b.aspx?i=4336142&m=433...
    non+autenticato
  • - Scritto da: il tacchino
    > molti sentono parlare di AES256, PBKDF2, ecc, non
    > sanno cosa sono ma si sentono sicuri... se uno
    > scrivesse che usa AES1024 tutti passerebbero ad
    > usare quel
    > servizio.
    una persona ignorante non saprebbe gestire la sicurezza neanche sul suo pc di casa.

    > ma la crittografia è come un giubbotto
    > antiproiettile, è valida finché tiene. contro una
    > mitragliatrice o un fucile di precisione di medio
    > calibro tanti auguri al giubbotto antiproiettile.
    > poi ci sono i giubbotti antiproiettile fallati
    > che fanno passare un colpo di pistola o una rosa
    > di
    > pallini.
    la crittografia non è un giubbotto antiproiettile, ma un bunker antiatomico!

    > il cloud è lo stesso... siete ancora convinti che
    > sia sicuro
    > usarlo?
    io lo uso felicemente per tutto!

    http://punto-informatico.it/b.aspx?i=4336142&m=433...
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)