Il gruppo Syrian Electronic Army (SEA) ha colpito di nuovo e questa volta a pagarne le conseguenze sono stati gli utenti e i collaboratori del sito web Forbes.com. In totale sono 1.071.963 gli utenti interessati dalla violazione; il gruppo ha colpito (e affondato) il database che custodiva i loro indirizzi email e password, dati che poi sono stati anche condivisi pubblicamente. La violazione ha interessato anche la piattaforma di publishing dove tre articoli di Forbes sono stati plagiati e il blog dell’azienda messo K.O. Come ha potuto il gruppo siriano realizzare un colpo del genere e mettere in ginocchio una struttura così importante?
Pare che Forbes immagazzinasse le informazioni dei suoi utenti in Portable format PHP. Essenzialmente questo significa che le password e i sali random usati per rallentare gli aggressori sono stati eseguiti attraverso un algoritmo MD5. Questo algoritmo è una popolare funzione hash crittografica comunemente utilizzata per verificare la legittimità dei dati. Forbes ha eseguito 8.192 duplicati di MD5 su password e hash, e poi ha immagazzinato i risultati nei loro database.
Il gruppo criminale si è poi impossessato delle informazioni immagazzinate e ha giocato con loro a un gioco molto pericoloso: ha provato se le password più comuni, come “ABCD”, potessero funzionare con i sali degli utenti, producendo un hash che veniva poi confrontato con il database di Forbes. Una volta scoperte le combinazioni, si scoprivano anche le password.
Sebbene le password fossero crittografate in modo unidirezionale, Forbes ha subito avvisato i suoi utenti, chiedendo loro di cambiare le informazioni di login:
Gli indirizzi email di tutti coloro che si sono registrati a Forbes.com sono in pericolo. Vi chiediamo gentilmente di fare attenzione a tutte le email che sembrano essere inviate da Forbes perché la lista degli indirizzi email violati potrebbe essere usata come bersaglio di attacchi di phishing. Abbiamo già informato le autorità. Abbiamo preso in seria considerazione l’accaduto e ci scusiamo con i membri della nostra community per questo problema.
A questo proposito il problema principale è che le persone tendono ad usare lo stesso username e password per diversi account. In questo modo quei lettori di Forbes le cui informazioni sono state rese pubbliche e che usano la stessa combinazione di username e password per altri account, sono nel mirino di un attacco più ampio.
Non ci stancheremo mai di mettervi in guardia da questa pessima abitudine. Se adottate questo metodo e uno dei vostri account viene hackerato, anche gli altri saranno vulnerabili e i cyberciminali ne sono consapevoli. Vi consigliamo caldamente di utilizzare un password manager, un programma che vi permette di immagazzinare password forti e uniche, una diversa per ogni account online. Con password manager una violazione non significherà la perdita totale delle informazioni di tutte le vostre piattaforme attive.