WordPress.com sotto attacco: milioni di utenti a rischio

Sotto attacco i server di WordPress.com. A rivelarlo è stata la stessa Automattic, in un post sul blog ufficiale. Un attacco di basso livello che ha compromesso solo potenzialmente la sicurezza degli account, ma il rischio vero è legato alla diffusione di frammenti di codice dei partner.

Automattic è subito corsa ai ripari, valutando l’entità del problema e ponendovi rimedio, anche se le analisi di quanto successo sono tutt’ora in corso.

Ci siamo impegnati nell’analisi dei log e delle registrazioni per determinare in modo tempestivo la quantità di informazioni esposte e l’entità dell’attacco per porvi rimedio.
Presumiamo che il nostro codice sorgente è stato esposto e copiato, ma si tratta per la gran parte di file Open Source, dove però ci sono frammenti di codice di nostri partner, tuttavia l’accesso ad informazioni sensibili dovrebbe esser stato limitato.
I nostri esperti stanno continuando a studiare quanto accaduto, onde evitare che possa ripetersi.

L’attacco non coinvolge le installazioni self-hosted del software di WordPress.org e, nell’attesa che si sappia di più su quanto accaduto, Automattic ha invitato gli utenti a valutare se stiano usando una password davvero sicura per l’accesso a WordPress.com e possibilmente a cambiarla.

Se vi sia stato o meno il furto di dati sensibili dai server di WordPress.com a seguito di quest’attacco è presto per dirlo, ma i tanti che hanno la pessima abitudine di utilizzare la stessa password per più siti, sono invitati a modificarla quanto prima, per evitare che possano esservene usi illeciti.

Annunci

Attenzione alle vostre password

La protezione delle credenziali di accesso, come ad esempio nome utente e password, dovrebbe essere uno degli elementi alla base della sicurezza informatica. Eppure sembra che gli utenti non prestino molta attenzione alla protezione dei dati sensibili. Una indagine BitDefender, produttore di software per la sicurezza informatica, ha cercato di determinare la modalità con cui gli utenti impostano la propria password. Oltre 670 dei 1000 intervistati scelti (età media di 29,5 anni e provenienza da 16 paesi diversi) ha ammesso di aver più di tre profili online che richiedono una password per accedere. In aggiunta, il 73% dell’intero campione statistico ha dichiarato che in realtà ricorre alla stessa password per accedere ai diversi profili.

L’indagine si è inoltre concentrata sull’approccio degli intervistati a come scegliere il livello di sicurezza della propria password. Mentre un quarto degli intervistati ha dichiarato di utilizzare una combinazione di almeno sei caratteri, solo 10 dei 1.000 partecipanti alla ricerca hanno dichiarato di utilizzare una sequenza alfanumerica più lungo di quindici caratteri.

L’aspetto più interessante non è che le password siano prevalentemente brevi, cosa comprensibile e conveniente in termini di sforzo mnemonico, ma che più di un centinaio di persone si siano dimostrate interessate a condividere tali credenziali importanti al fine di verificare la sicurezza stessa delle password con l’intervistatore. “É come avere un mazzo di duplicati delle vostre chiavi di casa, e distribuirli a chiunque ne richiede una copia”, ha affermato Sabina Datcu, Analista per le Minacce Elettroniche di BitDefender e autrice di questo sondaggio.

E’ importante ricordare che una password, per avere delle minime caratteristiche di sicurezza, deve essere piuttosto lunga e dovrebbe contenere non meno di 8 o 10 caratteri. La lunghezza ideale è dai 14 caratteri in su e deve contenere una serie di numeri e lettere maiuscole e minuscole. Un’altra regola da osservare è quella di modificare periodicamente la password. Una password composta da meno di 8 caratteri può essere utilizzata per circa una settimana, mentre una password con 14 o più caratteri può essere utilizzata per molti anni. La complessità della password contribuisce a renderla sicura per molto tempo. Maggiori informazioni su questo argomento e su come impostare pasword sicure, anche attraverso il generatore automatico di password complesse, sono presenti in un articolo a questo indirizzo.

Approfondimenti sullo studio portato a termine da BitDefender sono disponibili sul blog BitDefender MalwareCity.com (in inglese).

Fonte PCSELF.COM

Le nostre password sono sicure?

Quanto sono sicure le password che scegliamo per i nostri account? Ce lo fa sapere Howsecureismypassword.  Il controllo è semplice: è sufficiente iniziare a digitare i caratteri della password, ed istantaneamente verrà diagnosticato il tempo necessario per craccarla. Il calcolo viene effettuato con un codice Javascript e non sappiamo, in realtà, su quali elementi si basa il risultato.  A titolo di esempio, sempre secondo How Secure Is My Password, per craccare  Lyg03m78IT35 sarebbero necessari 10 milioni di anni!

Il controllo è comunque utile per verificare quanto deve essere lunga e complessa una password sicura.

Per approfondimenti su come generare password complesse è possibile fare riferimento a questo articolo che propone, inoltre, anche un generatore.

Generare password complesse

La scelta della password è una delle operazioni più importanti nel settore della sicurezza informatica. Non tutti sono consapevoli su quanto sia importante creare uno strumento che deve difendere e proteggere, in modo inequivocabile, le nostre informazioni personali.

A volte, per quanto ci possa sembrare sicura e apparentemente impenetrabile, la password in realtà è un meccanismo fragile che può essere superato con relativa semplicità. Forzare una password può essere complicato ma non impossibile.

Non usare mai password con il proprio nome e cognome, data di nascita o nome di persone appartenenti alla famiglia. Una buona password dovrebbe contenere non meno di 8 o 10 caratteri. La lunghezza ideale è dai 14 caratteri in su e deve contenere una serie di numeri e lettere maiuscole e minuscole.  Occorre evitare di inserire una serie di numeri o caratteri ripetuti. Password del tipo “1234567890”, “1111111111”, “ABCDEFGHIL” o composte da lettere poste tra loro vicine sulla tastiera (come “qwertyuiop” o ” asdfghjkl”) sono assolutamente da scartare perchè verrebbero individuate in pochi minuti. Un altro errore da evitare è quello di utilizzare la stessa chiave di accesso per più account.

A questo indirizzo un esauriente articolo su come creare password complesse ed un generatore di password da utilizzare per lo scopo.

Esistono anche altri servizi online dedicati allo scopo. Qui è possibile inserire un nome, una parola significativa per ottenere una parola facilmente memorizzabile, ma abbastanza sicura.