È Stato Confermato: le Password Degli Utenti XKCD Sono State Violate Durante una Violazione dei dati
Quelli di voi interessati alla matematica, alla tecnologia e alla sicurezza delle informazioni hanno probabilmente sentito il nome Randall Munroe. È il creatore del webcomic XKCD che utilizza brillanti cartoni animati e una sana dose di umorismo per discutere di questi argomenti. Usando XKCD, Munroe ha reso popolare la sua teoria della " correttezza della batteria ", secondo la quale una lunga frase che consiste di quattro parole casuali è sia più facile da ricordare che più sicura di una sequenza di lettere, numeri e caratteri speciali.
Venerdì, esperto di sicurezza informatica e creatore del servizio di avviso di Have I Been Pwned, Troy Hunt ha usato il suo enorme Twitter per cercare di entrare in contatto con Randall Munroe. Non stava cercando di spiegare perché la teoria della "teoria della batteria corretta" potrebbe non funzionare nel mondo reale. Lo ha fatto qualche tempo fa . Hunt stava cercando di dire a Munroe che le informazioni che appartengono ai fan di XKCD sono state esposte.
Table of Contents
Il forum di XKCD è stato violato
Troy Hunt è stato inizialmente contattato da un hacker etico di nome Adam Davies che gli ha detto che il forum in cui le persone discutono di tutto ciò che riguarda XKCD è stato violato un paio di mesi fa. Alla fine, Hunt è riuscito a mettersi in contatto con amministratore del forum che ha riconosciuto la violazione e ha preso provvedimenti per risolvere il problema.
Le notifiche e-mail sono state inviate alle persone colpite, il forum è stato messo offline e rimarrà chiuso mentre le persone responsabili tentano di capire esattamente cosa è successo. Nel frattempo, Troy Hunt ha ricevuto le informazioni trapelate da Adam Davies e le ha caricate nel suo servizio di avviso di violazione dei dati, il che significa che puoi inserire la tua email su https://haveibeenpwned.com/ e vedere se il tuo account è stato compromesso.
Quanto è stata grande la breccia?
XKCD è uno dei webcomics più famosi al mondo e gli strumenti di analisi suggeriscono che ha milioni di visite mensili. Alla luce di ciò, la breccia nei forum non sembra così terribile. Sono stati colpiti poco meno di 562 mila account che, pur essendo ancora un numero significativo, non sono affatto così grandi come dozzine di milioni di record che altri siti Web e applicazioni perdono quotidianamente.
Inoltre, il forum XKCD è gratuito, il che significa che non memorizza alcuna informazione finanziaria. Secondo la dichiarazione attualmente pubblicata sul forum, i dati che sono stati esposti includono indirizzi IP al momento della registrazione, nomi utente, e-mail e "password con hash salate".
È sicuro supporre che quando il forum torna online, le password degli account interessati verranno ripristinate. Gli amministratori hanno giustamente avvertito gli utenti che, se avessero usato la loro password XKCD per altri account, avrebbero dovuto cambiarla con urgenza. E con una buona ragione.
Anche la password più forte non può battere un algoritmo di hashing debole
Siamo abbastanza sicuri che alcuni di voi usano il sistema "correcthorsebatterystaple" di Randall Munroe mentre altri, come Troy Hunt, si affidano ai generatori di password. Indipendentemente dalla tua posizione, ogni tuo account deve essere protetto con una password unica e sicura. Sfortunatamente, anche questo a volte non è abbastanza.
La notifica di violazione dei dati di XKCD afferma che gli hacker hanno approfittato di una vulnerabilità in phpBB, la piattaforma sottostante del forum. Il fatto che esistesse il buco suggerisce che non tutti gli aggiornamenti di sicurezza erano stati installati. La funzione di hashing della password punta anche verso software obsoleti.
Secondo Have I Been Pwned, le password sono state tratteggiate con MD5 che, come abbiamo detto non molto tempo fa, è un algoritmo di hashing terribilmente obsoleto e insicuro. In effetti, sono stati anche salati, il che renderà un po più difficile il recupero delle credenziali, ma nonostante ciò, il fatto che la tua password XKCD fosse protetta con MD5 significa che dovrebbe essere considerata compromessa e non dovrebbe mai essere usata di nuovo.
