È stata Adobe ad aver subito l’attacco che ha coinvolto milioni di account e le relative password, ma non è la sola Adobe a prendere provvedimenti per tutelare la sicurezza dei propri utenti. Non sono abbastanza responsabili per provvedere autonomamente.
L’attacco, condotto nel mese di agosto e reso pubblico nel mese di ottobre, ha consegnato alla Rete i dati relativi a oltre 100 milioni di account: username e password che sono stati protetti inadeguatamente da Adobe, con algoritmo 3DES in modalità ECB, che assegna in sostanza identico codice a password uguali e che consente, una volta ottenuta la chiave, di avere accesso a tutto quanto è cifrato. Pare che la chiave non sia ancora stata individuata, ma gli incauti comportamenti degli utenti hanno consentito di risalire con una buona approssimazione a un numero consistente di password.
Si tratta di parole chiave come “123456”, o “123456789”, grandi classici tautologici come “password” e una lunga serie di prevedibili combinazioni che hanno reso semplice il lavoro di decodifica ai malintenzionati e agli esperti di sicurezza. Combinazioni apprezzate al punto da essere sfruttate dagli utenti per accedere a numerosi servizi a cui sono registrati.
Per questo motivo, proprio per evitare il propagarsi dei rischi, ci sono operatori della Rete che si sono messi in moto per analizzare i comportamenti dei propri utenti e per rintuzzarli qualora utilizzassero la password adottata per i servizi Adobe come un passepartout per diversi account. Si è mobilitata Facebook, si sono mobilitati siti legati ad Amazon e dedicati all’ecommerce come diapers.com e soap.com : qualora siano state rilevate delle corrispondenze nel confronto tra i dati emersi dall’attacco e i dati di registrazione forniti dai propri utenti, la aziende hanno forzato la sostituzione della vecchia password, riciclata per diversi servizi, con una password nuova, originale e possibilmente meno intuibile.
Coloro che non fossero invece stati raggiunti da alcun avvertimento, ma temessero per le proprie credenziali Adobe, possono verificare se il proprio account è stato coinvolto nell’attacco: tale @hilare_belloc ha messo a disposizione uno strumento per effettuare il controllo.
Gaia Bottà