Questo sito fa uso di cookie tecnici per una tua migliore esperienza di navigazione. Continuando ad utilizzare il sito, accetti la nostra policy di uso dei cookie.

data breach

ATTENZIONE! Molto probabilmente i tuoi dati sono stati violati...

E' di questi giorni la notizia del ritrovamento su MEGA, il famoso sito di file hosting, di un enorme database contenente indirizzi e-mail e password di milioni e milioni di persone: si parla di più di 700 milioni di indirizzi e-mail e più di 22 milioni di password. Tale database è stato reso pubblico in un famoso forum hacker rendendo le informazioni trafugate facilmente utilizzabili da un'enorme quantità di malintenzionati.

Ma come è stata possibile la raccolta e l'archiviazione di tutti questi dati? Attraverso l'hacking di alcuni siti web che ovviamente utilizzavano credenziali d'accesso per permettere all'utente di accedere ai servizi offerti dal sito stesso.
Ormai non ci facciamo quasi più caso, ma i siti che richiedono l'autenticazione (attraverso indirizzo email e password) sono probabilmente la maggior parte dei siti che frequentiamo: dai vari social network come Facebook, Linkedin, Instagram, a siti di servizi online come Dropbox, Amazon, Trip Advisor, o ancora siti di normale consultazione ma che magari richiedono il login per poter lasciare un commento come Repubblica, Ilmessaggero, etc etc..

C'è la possibilità attraverso un apposito sito, di verificare se i propri dati siano stati trafugati e pubblicati, e in quale occasione di data breach, ovvero in quale occasione di furto di dati.
Il sito per effettuare la verifica se i vostri indirizzi email e le vostre password risultano presenti in questo database è haveibeenpwned.com; qui sotto vi forniamo delle indicazioni di massima per aiutarvi in questa verifica.
Recarsi al sito haveibeenpwned.com, inserire il proprio indirizzo email nell'apposito campo e cliccare il pulsante "pwned?"

Se siete stati molto fortunati (percentuale minima di possibilità), il risultato sarà negativo, con la pagina che assumerà uno sfondo di colore verde

password1 OK

Se invece ricadete nel 90% dei casi, i vostri dati saranno stati divulgati e la pagina assumerà uno sfondo di colore rosso, con una scritta che recita: "Oh no -pwned!"
Immediatamente sotto la scritta sarà visibile in quanti data breach è stato coinvolto il vostro indirizzo email (nella foto "Pwned on 2 breached sites", ovvero coinvolto in 2 occasioni di furto di dati).
Scendendo ancora nella pagina si può verificare in QUALI data breach si è stati coinvolti e LE DATE dell'evento.

password2 KO

Per risolvere la situazione sarebbe semplicemente necessario cambiare la password del sito/servizio che è stato vittima del data breach, ma... c'è un grosso "ma": se quella stessa combinazione di indirizzo email e password è stata impostata per l'accesso anche in altri siti/servizi (anche non compromessi da alcun data breach), per essere al sicuro sarà necessario cambiare anche questi ultimi. Considerando che molto spesso si ha la pessima abitudine di utilizzare un'unica combinazione di email e password per tutti i siti/servizi a cui ci si iscrive, è facile intuire che questo evento ha un impatto potenzialmente devastante sulla sicurezza dei vostri dati.

Qualora rientraste in questa ultima "categoria" di utenti, il consiglio che possiamo darvi è di cambiare per lo meno le password dei siti e servizi sensibili come ad esempio i siti di home banking, di e-commerce, e comunque quelli che contengono dati sensibili, per i quali vi consigliamo di utilizzare una password univoca e di impostare l'autenticazione a 2 fattori, dove possibile.

 

Crash dei sistemi informatici INPS: importanza della pianificazione

progettareQuando il 1 aprile il portale dell’INPS ha aperto lo sportello virtuale per la richiesta del bonus di 600 euro previsto per lavoratori autonomi e partite IVA, si sono verificate enormi problematiche che hanno variato dall’irraggiungibilità del sito a, cosa ben più grave, l'accesso ai dati sensibili di persone differenti dall’utente che stava effettuando la richiesta.
I dirigenti dell’INPS hanno prontamente dichiarato che il sistema informatico è stato attaccato e violato da Hackers, ma fin da subito questa ipotesi non aveva affatto convinto chi con i sistemi informatici ci lavora giornalmente. Passato qualche giorno si è riuscito, in parte, a comprendere quali siano stati gli eventi che hanno portato a quello che sicuramente è uno dei più importanti data leak (incidenti informatici dove avviene un'esposizione involontaria di dati sensibili) italiani.
Fondamentalmente il problema è stato generato da diverse scelte tecniche sbagliate, messe in atto per contrastare quella che, come ampiamente previsto, sarebbe stata una massiccia transazione di dati concomitante. Prima fra tutte quella di non aver pensato a priori ad un sistema di prenotazione, che non accettasse nuovi utenti qualora le risorse disponibili fossero quasi esaurite; in seconda battuta, quando il sistema ha iniziato a non rispondere più, onde evitare il blackout completo, si è cercato di ricorrere all’utilizzo di sistemi di cache operando su due livelli:

  1. Sono state abilitate le cache di IIS sui servers interni dell’INPS
  2. Si è ricorsi all’utilizzo di un CDN -Content Delivery Network- esterno (Microsoft Azure)

Queste due scelte sono state sicuramente le peggiori che si potessero prendere, perché sono implementazioni che vanno effettuate per distribuire il carico relativo ad elementi detti “statici”, ovvero elementi che sono sempre uguali e vengono caricati e mostrati una sola volta.
Applicati ad elementi dinamici, come un form da compilare ad uso di utenti differenti (gli utenti che effettuavano la richiesta), ha generato una serie di dati ridondanti svincolati dall’utente che ne aveva fatto richiesta, portando quindi al data leak che ormai tutti conosciamo.

Quello che ci preme sottolineare da questa storia, è che tutte le problematiche che si sono venute a creare, e che probabilmente porteranno anche a grosse sanzioni da parte del Garante della Privacy, sono state il risultato di una mancata pianificazione e ad effettuare delle scelte tecniche in piena emergenza.

È per evitare queste situazioni che Data Commerce consiglia sempre i propri clienti di scegliere un percorso di assistenza tecnica continuativa, e non soltanto nel momento in cui si verifichino delle emergenze. Un contratto di assistenza tecnicainfatti non garantisce soltanto l’intervento nel momento del bisogno, ma anche l’analisi e la consulenza, prevedendo un rapporto costante per garantire la continuità dei processi produttivi del cliente.