LinkedIn e MySpace: violati dati di milioni di utenti

Proprio come accaduto per LinkedIn, la combinazione dei dati di accesso – indirizzo di posta elettronica e password – di milioni di utenti delle piattaforme MySpace e Tumblr sono state pubblicate on-line sul mercato nero del web, in seguito ad un attacco da hacker che risale al 2013, tre anni prima.

Sia nel caso di MySpace che Tumblr, come LinkedIn, i dati di accesso rubati sembrano essere stati rubati diversi anni prima rispetto alla pubblicazione online. La parte positiva della notizia per gli utenti di queste piattaforme è che se dopo la violazione è stata cambiata la combinazione email/password dell’account o all’epoca dei fatti non si era ancora iscritti non ci si deve preoccupare; in caso contrario è bene sbrigarsi a cambiare la password del proprio account, per sicurezza.

LinkedIn ha comunicato nel mese di maggio 2016 che la combinazione dei dati di accesso di oltre 100 milioni di suoi utenti sono state pubblicati on-line, in seguito ad un attacco da hacker che risale al 2012. Tra le informazioni rubate ci sono indirizzi email dei membri, password crittografate con funzione hash, e ID dei membri di LinkedIn (identificatore interno assegnato a ogni profilo) del 2012.

In una email inviata da LinkedIn agli utenti in seguito alla notizia dei milioni di account violati alcuni alcuni anni prima, la società si è voluta assicurare che gli utenti fossero al corrente di ciò che è accaduto, delle informazioni in questione, e delle misure che la società sta adottando per evitare situazioni simili in futuro.

"Il 17 maggio 2016, siamo venuti a conoscenza che i dati rubati a LinkedIn nel 2012 sono stati pubblicati online. Non si tratta di una nuova violazione della sicurezza o di un nuovo attacco hacker."  ha detto la società in una mail inviata ai suoi utenti. "Abbiamo agito tempestivamente invalidando le password di tutti gli account LinkedIn che abbiamo ritenuto a rischio. Si tratta di account creati prima della violazione del 2012 la cui password non è stata reimpostata da quella data."

LinkedIn ha detto di essere sicura che l’elenco dei dati messo online nel maggio del 2016 è legato all’attacco che ha subito nel 2012, non avendo alcuna indicazione che l’elenco in questione possa essere il risultato di un successivo attacco piu’ recente. LinkedIn si è subito attivata invalidando le password di tutti gli account LinkedIn creati prima della violazione del 2012 che non sono state reimpostate da quella data. Inoltre, la società ha detto che sta utilizzando strumenti automatici per cercare di identificare e bloccare attività sospette che potrebbero verificarsi negli account, e sta anche collaborando attivamente con le forze dell’ordine.

LinkedIn ha spiegato che dal 2012 ha adottato "significative" misure per rafforzare la sicurezza degli account. Per esempio, ora vengono memorizzate le password con la funzione hash e il parametro salt, ed è stato abilitato abilitato un ulteriore livello di sicurezza dell’account offrendo ai membri la possibilità di utilizzare il processo di verifica in due passaggi.

Cory Scott, capo della information security di LinkedIn, raccomanda agli utenti che non lo fanno dal 2012 di cambiare password, scegliendo una combinazione di numeri e lettere più sicuro e di attivare il sistema della doppia autenticazione.

Per quanto riguarda MySpace, interessati ci sono oltre 360 milioni di account violati e 427 milioni di password sono in vendita sul mercato nero del web al costo di circa 2.800 dollari.

My Space ha comunicato di aver invalidato tutte le password per gli account interessati dall’attacco, che pare siano quelli creati prima del 11 giugno 2013 sulla vecchia piattaforma. MySpace ha anche utilizzando strumenti automatizzati per tentare di identificare e bloccare eventuali attività sospette che potrebbero verificarsi sui profili MySpace degli utenti. La società ha inoltre denunciato l’accaduto alle autorità competenti, con cui sta inoltre collaborando per indagare e perseguire questo atto criminale.

Riguardo al microblog Tumblr, di proprietà di Yahoo!, violati sarebbero 65 milioni di account utente. 

Secondo un rapporto del sito Motherboard, un hacker di nome Peace ha cercato di vendere le e-mail e le password di 117 milioni di membri di LinkedIn per circa 2200 in bitcoin.

Pare sia stato lo stesso hacker che nel mese di maggio ha denunciato la messa in vendita dei dati di oltre 160 milioni di utenti di Linkedin a denunciare anche la vendita sul mercato nero del web dei dati di milioni di utenti di MySpace e Tumblr.

"La vicenda che emerge ora non è stata presa seriamente quando è accaduta" ha commentato uno dei responsabili del sito LeakedSource, secondo cui il database delle informazioni rubate degli utenti di LinkedIn è in mano ad un gruppo di hacker russi. Il 90% delle password pare sia stato manomesso in 72 ore.

Quanto accaduto a LinkedIn non è una sorpresa per Orlando Scott-Cowley, uno specialista di sicurezza del provider e-mail Mimecast. Secondo l’opinione di Scott-Cowley, il social network rivolto ai professionisti potrebbe essere vulnerabile ad ulteriori violazioni perchè ci sono i criminali informatici che stanno probabilmente aprendo profili per spacciarsi per imprese al fine di entrare in contatto con gruppi di persone a cui rubare i loro dati.