DailyMotion, sito francese per la condivisione di video, è stato attaccato dagli hacker, che hanno rubato nomi, indirizzi e-mail e password a un totale di 87,5 milioni di utenti.
A raccontarlo LeakedSource, un servizio gratuito che invia notifiche e-mail sulle nuove violazioni e offre un database di informazioni rubate dagli hacker (ma gli utenti che scelgono di accedere a funzionalità di ricerca più avanzate pagano una quota). LeakedSource ha spiegato come l’attacco contro Dailymotion ha avuto luogo il 20 ottobre 2016 e ha preso di mira diversi dati. I cybercriminali hanno scardinato anche le password protette con l’algoritmo di hashing Bcrypt.
Perché le password non bastano a proteggere i dati
Dal canto suo, Dailymotion nega che i dati personali siano stati compromessi. Dalle pagine del blog aziendale, la società fa sapere che di essere a conoscenza di un potenziale rischio per la sicurezza “che potrebbe aver coinvolto le password di un certo numero di account”. L’attacco, secondo quanto scrive Dailymotion, sembra essere limitato: la società ha sottolineato di avere molto a cuore la sicurezza della propria piattaforma e ha consigliato a tutti i partner e gli utenti di reimpostare le proprie password. La notizia della la violazione ai danni di Dailymotion è arrivata appena tre settimane dopo che LeakedSource ha riferito dell’attacco a oltre 412 milioni di account di FriendFinder Network.
Questi due eventi così massicci e ravvicinati mettono ancora più in evidenza le cattive pratiche relative alla gestione delle password e la scarsa sicurezza di cui possono godere i dati degli utenti online. Il punto è, secondo gli esperti, la necessità di eliminare completamente l’utilizzo delle password come strumento di identificazione e autenticazione. Una singola violazione, per quanto aggressiva, non garantisce infatti che il pericolo sia circoscritto a quell’avvenimento: la maggior parte degli utenti, infatti, è abituato a utilizzare la stessa password per accedere a più account e questo fa aumentare esponenzialmente il grado di vulnerabilità dei loro dati in giro per la rete.
Ma la colpa, sottolineano gli esperti, non può essere imputabile solo agli utenti: oggi, infatti, disponiamo spesso di così tanti account che potrebbe risultare effettivamente scomodo utilizzare password originali (e abbastanza complesse da garantire, da sole, la sicurezza dei dati) per ognuno di questi.
La responsabilità, sottolineano gli esperti, è dunque delle aziende che devono una volta per tutte rifiutare l’autenticazione tramite password e adottare alternative più sicure. Non ci sono più scuse: i metodi alternativi di autenticazione oggi sono disponibili, facili da implementare e offrono livelli molto elevati di sicurezza.
