Le nostre password potrebbero essere ”a rischio”e noi non lo sappiamo

Aiuta a ottimizzare la sicurezza e le performance di oltre 5,5 milioni di siti web in tutto il mondo. Peccato che proprio all’interno del suo codice si nascondeva un cosiddetto bug, cioè una falla, che per mesi ha messo a rischio cracker le informazioni sensibili dei naviganti. È quanto accaduto a Cloudflare, gigante dell’informatica statunitense, che ha comunicato il problema in un lungo post pubblicato questa notte.

“Una combinazione di fattori rende il bug particolarmente grave”, scrive il sito di tecnologia Ars Technica. Primo, il fatto che la falla è rimasta aperta ben cinque mesi: dal 22 settembre al 18 febbraio, quando è stata individuata. Secondo, il fatto che queste informazioni sono state conservate nella memoria di molti motori di ricerca (come Google, Bing e Yahoo!) con cui Cloudflare adesso sta lavorando per procedere alla rimozione. Il risultato? Dal momento in cui il bug è stato attivo fino a oggi, i malintenzionati hanno avuto la possibilità di accaparrarsi i dati sensibili in questione sia in tempo reale, accedendo ai siti vulnerabili, sia anche dopo attraverso i motori di ricerca.

La vulnerabilità è stata scoperta da Tavis Ormandy, analista al lavoro per Project Zero, il progetto sulla sicurezza avviato da Google nel 2014. E soprannominata “Cloudbleed”, per via della somiglianza con Heartbleed: il ‘buco’ nel sistema “OpenSSL”, il software di sicurezza usato da milioni di pagine internet nelle transazioni commerciali, nelle comunicazioni criptate e nella trasmissione di dati sensibili che nel 2014 ha esposto password e carte di credito in due terzi dei siti web. Con la differenza che questa volta, però, il bug interessa solo molti dei servizi che utilizzano Cloudflare: pare che i siti coinvolti siano circa due milioni.

Tra i clienti di Cloudflare affetti dalla vulnerabilità ci sono Uber, FitBit, OKCupid e 1Password. Mentre la lista dei dati esposti include password, cronologia di navigazione, prenotazione di hotel, indirizzi IP, intere conversazioni private sulle app di dating e token di autenticazione, ovvero quella sorta di chiave che viene memorizzata su smartphone o pc e ci consente di accedere a un account anche senza bisogno di alcuna password.

Scopri quali siti usano Cloudflare

Come proteggersi? La reazione di Cloudflare è stata tempestiva: il bug risolto. E la compagnia ha assicurato che ancora non si conosce alcun utilizzo malevolo delle informazioni esposte. Ma le tutele non sono mai troppe, dato che potrebbero esserci le copie dei nostri dati in giro. Gli esperti consigliano quindi di cambiare le proprie password e, in caso, di attivare l’autenticazione a due fattori (cioè basata oltre che su una password, su un codice ricevuto tipicamente tramite sms o app).

Dal canto suo Google ha chiesto a molti degli utenti di autenticarsi nuovamente reinserendo la propria password sui cellulari Android e iPhone. “Si tratta probabilmente di una misura precauzionale”, spiega Paolo Dal Checco, consulente informatico forense. “Big G non usa direttamente Cloudflare, ma alcuni servizi passano di lì. E anche se non c’è alcuna conferma ufficiale, si può ragionevolmente ipotizzare che stia resettando tutti i token di autenticazione, nel caso in cui siano stati rubati grazie alla fuga”. (fonte)

You may also like...