Dopo le password compromesse di LinkedIn , un nuovo archivio di account violati arriva dal passato dei social network per tormentare gli utenti. O almeno quelli che qualche anno fa usavano ancora MySpace , con 427 milioni di “record utente” individuali messi in vendita nell’underground telematico e già indicizzati dal motore di ricerca di LeakedSource .
LeakedSource ha ottenuto i dati da un utente anonimo, Tessa88@exploit.im , e ha potuto verificare che 360 milioni dei suddetti record fanno riferimento a utenti specifici con nome account, email, password e tutto quanto: il resto sono dati riferiti a bot o altro.
Le password dei 360 milioni di account compromessi erano cifrate con SHA1 ma non erano “salted”, ragion per cui LeakedSource ha potuto violarle con attacchi a forza bruta ; la disarmante semplicità di alcune password usate di frequente dagli utenti come “password1”, “123456”, “myspace1” e “fuckyou1” ha ovviamente facilitato di molto l’operazione.
La megabreccia negli account di MySpace si unisce a quella di LinkedIn e anche di Tumblr , con il social network che conferma di aver subito un attacco nel 2013 ma di non aver osservato violazioni degli account conseguenti alla breccia. In questo caso gli utenti coinvolti ammontano a 65 milioni , e le password erano sufficientemente blindate (con hash digitale e “salt” con l’aggiunta byte casuali) da non essere compromesse con facilità.
Salt o non salt, spiega l’analista di sicurezza Troy Hunt , la recente scia di “mega-brecce” nei database degli utenti dei social network riguarda sempre informazioni “storiche” vecchie di almeno 3 anni: facile ipotizzare che dietro ogni caso, e ogni collezione, ci sia la stessa mano, dice Hunt .
Alfonso Maruccia