Social network e allarme sicurezza: ci risiamo. Ma questa volta non è Facebook, bensì LinkedIn la vittima dell’attacco cybercriminale, o meglio circa 6,4 milioni di utenti della piattaforma di social networking per i professionisti, i cui dati di registrazione sarebbero stati trafugati da un cracker russo e poi pubblicate su un forum di “addetti ai lavori”, TLD.ru.
Il file contenente le password rubate (Foto: Lance Whitney/Cnet)
Il condizionale è ancora d’obbligo, dal momento che l’investigazione a riguardo è appena stata aperta, come annunciato da Linkedin su Twitter e poi spiegato sul suo blog. “Ieri – scriveva in data 7 giugno
Vicente Silveira, direttore di LinkedIn – siamo venuti a conoscenza del fatto che circa 6,5 milioni di password crittografate sono state pubblicate su un sito di hacker. La maggior parte di esse rimangono crittografate e difficilmente decifrabili, ma sfortunatamente un piccolo sottoinsieme è stato effettivamente decodificato e pubblicato”.
Per rassicurare gli utenti, Silveira ha specificato: “Stiamo lavorando attivamente con le forze dell’ordine, che già stanno investigando sulla questione”. Il direttore ha inoltre spiegato che Linkedin non ha ricevuto segnalazioni di furti di password di caselle email, né di tentativi non autorizzati di accesso agli account del social network.
“Non appena venuti a conoscenza del problema – prosegue il post – abbiamo preso misure attive per proteggere i nostri iscritti. La priorità è stata quella di bloccare e proteggere gli account collegati con le parole chiave decodificate, cioè quelli che rienevamo più a rischio. Abbiamo invalidato le password e contattato gli utenti interessati con un messaggio che spiegava come resettarle. In futuro, come misura precauzionale, disabiliteremo le password di tutti gli utenti che riterremo potenzialmente esposti a violazioni”.
Trattandosi di uno strumento di networking a scopo professionale, la sicurezza offerta da LinkedIn ai suoi utenti è non solo questione di privacy, ma anche di
tutela della reputazione nel mondo del lavoro. Qualche consiglio per rafforzare le difese degli account rispetto ai tentativi di violazione giunge da Websense: scegliere password complesse e lunghe, modificarle con una certa frequenza ed evitare di ricorrere alle medesime parole chiave per accedere a più servizi Internet.
“Compromettere un account LinkedIn – ha dichiarato
Carl Leonard, senior security manager di Websense Security Labs – ha tre importanti effetti. In primo luogo, la preoccupazione che gli hacker cerchino di approfittare della fiducia: se un collega appartiene alla stessa rete, è molto più semplice cliccare un link malevolo proveniente da lui, aprendo la porta ad attacchi mirati e al furto di dati confidenziali”.
“In secondo luogo – ha proseguito Leonard –, poiché molti account LinkedIn sono sincronizzati con più media service, come Facebook e Twitter, e quindi i post malevoli possono essere diffusi verso un pubblico molto più vasto. Infine, molti utenti utilizzano la stessa password per diversi account: le conseguenze di una password ‘violata’ possono essere dedotte attraverso email, social media, account bancari e dati scambiati attraverso cellulari”.