Puntata 456
I titoli di ogni notizia contengono un link all'articolo originale pubblicato sul blog Il Disinformatico di Paolo Attivissimo.
SOMMARIO
Mitsubishi Outlander hackerabile via wi-fi
Gli esperti di sicurezza di PenTestPartners hanno individuato delle vulnerabilità piuttosto gravi sulla Outlander.
Mentre le altre case automobilistich realizzano App per il controllo remoto dell'auto basandosi sulla connessione dati dell'utente, gli ingegneri della Mitsubishi hanno pensato di eliminare il problema dei costi di connessione rendendo l'auto un hotspot wi-fi, fatto che permette di comunicare direttamente con l'auto da mobile.
Ma la password che protegge la connessione è troppo debole (sono occorsi 4 giorni di tempo macchina per craccarla senza scomodare elaboratori potenti), i comandi principali per spegnere le luci, l'aria condizionata etc... sono stati indovinati senza sforzo così come è stato possibile disabilitare l'antifurto.
Il nome della postazione wi-fi di ogni Mitsubishi Outlander segue uno schema standard e siti come Wigle.net è in grado di tracciare facilmente tutte le Outlander (rendendo più semplice il lavoro pe un eventuale ladro di Outlander).
La società di sicurezza ha provato a contattatare Mitsubishi, ma sono stati ignorati. Così i ragazzi di PenTest hanno realizzato un video per la BBC.
Inutile dire che ora Mitsubishiè corsa ai ripari.
Marck Zuckerberg e la sua super password "dadada"
In sintesi: sono stati violati due account dormienti (poco utilizzati) del noto fondatore di Facebook (azienda che controlla anche WhatsApp e Instagram tra le altre cose); si tratta degli account Pinterest e Twitter. Secondo colui che si è introdotto nei due account, un certo "OurMine Team", la password utilizzata per entrambi sarebbe stata "dadada", ma non ci sono terze parti a confermarlo.
Probabile che l'attacco sia stato condotto sfruttando le password immesse recentemente sul mercato nero: anche se l'indiscrezione sulla banalità dovesse trattarsi di un mero espediente per dare viralità alla notizia, resta il problema che il buon Marck usasse la stessa password per due servizi diversi.
Soprattutto in un periodo come questo in cui le violazioni sono all'ordine del giorno, è essenziale diversificare le password per ogni account di rete.
Milioni di Password rubate di Twitter in circolazione
Le 32 milioni di password che sarebbero state rubate da Twitter sembrano non essere tutte reali, considerato che sono in vendita per soli 5 mila dollari, un prezzo troppo basso per questo genere di account. La fonte della notizia è il sito LeakedSource in cui è possibile verificare lo stato del proprio account digitando la mail usata per iscriversi a Twitter (in modo simile a come si farebbe per HaveIBeenPwned).
Twitter inoltre custodisce molto bene le password dei propri utenti perciò, se sono state sottratte, potrebbero essere state rubate agli utenti in qualche altro modo: la piattaforma ha comunque già inviato a qualche milione di utenti avvisi via mail per il cambio delle credenziali di accesso (dal momento che le password di questi account erano in circolazione).
Usare la stessa password per più siti è una enorme fonte di debolezza per la privacy degli account sociali: ogni account dovrebbe essere utilizzato con una password diversa in modo che la compromissione di un servizio non metta in pericolo tutti gli altri. Spesso gli hacker ottengono le password di un sito e le utilizzano su tutti gli altri servizi internet (utilizzano la combinazione mail e password su più di una piattaforma) nella speranza di veicolare spam e malware attraverso gli account violati.
Esistono numerosi siti che permettono di controllare se i propri account sono stati violati: occorre ricordarsi di non immettere mai le password, ma solo il proprio indirizzo di posta (ancora meglio se è possibile inserire lo username al posto della mail.)
I cybercriminali spesso sfruttano gli annunci di sicurezza per inviare mail in cui fingono di essere la piattaforma violata (Twitter, Facebook, Linkedin) e inseriscono nel corpo della mail link per la reimpostazione della password. Per evitare di cadere preda dei truffatori sarebbe bene utilizzare solo gli strumenti di cambio password messi a disposizione dai servizi internet (ossia richiedere attivamente il cambio password al sito ignorando la mail ricevuta dalla piattaforma, in modo da evitare eventuali mail contraffatte), abilitando dove possbile l'autenticazione a due fattori.
Diario Cyber Criminale
Storie di criminali che non ce l'hanno fatta per la propria imperizia informatica.
http://attivissimo.blogspot.it/2016/06/vuoi-fare-il-criminale-informatico-non.html
http://attivissimo.blogspot.it/2016/06/rapinatore-catturato-facebook-lha.html
Nessun commento:
Posta un commento