Cybercriminali russi (ribattezzati CyberVor) avrebbero rubato 1,2 miliardi di password e 500 milioni di indirizzi email. La notizia shock è stata lanciata il 5 agosto dal New York Times, e, al solito, ripresa, anche maldestramente, da tutta la stampa internazionale.
La Hold Security, un’azienda americana specializzata in sicurezza informatica, lo stesso giorno in cui il suo fondatore Alex Holden veniva intervistato dal NYT, ha annunciato sul proprio sito che un gruppo di cybercriminali russi avrebbe accumulato un database di 1,2 miliardi di credenziali Internet, cioè di coppie di account (soprattutto e-mail) e password.
L’enorme numero di credenziali sarebbe stato rubato nel tempo da 420.000 siti web (spaziando da quelli personali a quelli di aziende Fortune 500) tramite botnet (reti di PC craccati e sotto il controllo di cybercriminali) e tecniche di SQL injection (che consentono di estrarre informazioni direttamente dai database dei siti vulnerabili).
Secondo Holden si tratta “probabilmente del più grande furto di dati mai avvenuto”, e di certo l’autorevolezza del quotidiano americano, che ha avallato tale affermazione, ha contribuito a diffondere il panico tra i gestori di servizi online e tra gli utenti, anche se, purtroppo, non è dato sapere quali siano i siti coinvolti. La Hold Security non lo dice, ma guarda caso, contestualmente alla diffusione della notizia, ha annunciato un nuovo servizio a pagamento per il monitoraggio delle violazioni dei siti che comprende anche la verifica se il cliente è caduto vittima di CyberVor.
Questo fatto, unito al dettaglio che la notizia è esplosa sui media proprio mentre a Las Vegas era in corso Black Hat Usa 2014, una delle più importanti convention internazionali sulla sicurezza frequentata dai maggiori esperti mondiali, la dice lunga. E l’annuncio dalle coincidenze sospette non è piaciuto molto nell’ambiente dei professionisti della sicurezza (molti dei quali presenti proprio alla convention di Las Vegas), di solito abituati a condividere (gratuitamente) le informazioni sui furti di dati, sia delle tecniche usate dai criminali sia dando agli utenti la possibilità di sapere (gratuitamente) se sono stati coinvolti nelle violazioni.
Nel frattempo Brian Krebs, un noto e apprezzato giornalista specializzato in sicurezza informatica, anch’egli alla convention, bombardato da richieste di chiarimenti si è limitato a pubblicare sul suo sito una lista di domande/risposte. Ma date un’occhiata ai commenti: sono illuminanti.
Si è fatta notare, per le critiche nemmeno velate, la rivista Forbes, che ha oltretutto bacchettato il New York Times per non aver messo in evidenza nell’articolo il fatto che “l’azienda che ha denunciato una gigantesca violazione della sicurezza spera di ricavarne direttamente profitto”. Scrive giustamente la giornalista: “Sì, mi aspetto che le aziende che operano nel settore guadagnino nel rendere Internet un posto più sicuro, ma sono scettica sul fatto che un’azienda che ha un incentivo economico nel creare il panico, possa essere la fonte principale di un articolo che causa panico”. Ineccepibile.
Oltretutto, secondo altri osservatori, il panico sollevato dall’articolo del New York Times non sarebbe giustificato, perché la gravità del furto è stata molto sovrastimata. Ad esempio perché le credenziali sono state probabilmente rubate in un lungo arco di tempo, e nemmeno dallo stesso gruppo ma acquistate sul mercato nero, e dunque la maggior parte sono obsolete. Inoltre, la tecnica utilizzata per violare i sistemi, la SQL injection, è nota da anni e non è pensabile che i siti più importanti siano vulnerabili.
E se stavolta il New York Times avesse toppato?
Approfondimenti
The Verge
06/08/2014 – The Russian ‘hack of the century’ doesn’t add up
New York Magazine
06/08/2014 – The Times’ Terrifying Russian Hack Story Might Not Be So Scary After All
Punto Informatico
06/08/2014 – Cracking, la grande mietitura delle password
La Repubblica
06/08/2014 – Usa, hacker russi hanno rubato 1,2 miliardi di password
BBC
06/08/2014 – Russia gang hacks 1.2 billion usernames and passwords
I miei tweet per l’occasione
Perché il #CyberVor non è il furto delle password del secolo che vorrebbe il @nytimes http://t.co/QyWtl30YE3 #cybercrime #security
— Mark Ellero (@netcrash_it) August 7, 2014