Il tuo account Vimeo è stato bloccato? Ecco perché

È sicuro dire che gli individui dovrebbero essere responsabili della propria sicurezza e dovrebbero sopportarne le conseguenze quando non prendono abbastanza seriamente questo compito. Tuttavia, i fornitori di servizi online che adottano misure proattive per proteggere i propri utenti meritano sicuramente una pacca proverbiale sul retro. Detto questo, comunicare le loro azioni con gli utenti è probabilmente importante quanto le azioni stesse e, sfortunatamente, è qui che a volte le cose non vanno proprio come tutti sperano. La piattaforma di condivisione video Vimeo, ad esempio, ci ha mostrato come le iniziative di sicurezza che non sono ben spiegate possano creare molta confusione.

Gli account "Frozen" lasciano gli utenti di Vimeo a grattarsi la testa

La scorsa settimana, alcuni proprietari di account Vimeo hanno capito di non essere in grado di accedere alla piattaforma di pubblicazione video. David Smith, un lettore della rivista infosec The Register, ha spiegato di aver ricevuto una notifica che gli diceva che "uno sconosciuto" aveva avuto accesso al suo account e che per proteggerlo, Vimeo aveva deciso di bloccare il profilo. Questo tipo di scenario non è così insolito come si potrebbe pensare, e anche se stiamo parlando di accesso non autorizzato, non significa necessariamente che il servizio online (Vimeo, in questo caso) sia stato compromesso.

Il riempimento delle credenziali sta diventando sempre più popolare tra i criminali informatici. In esso, i truffatori prendono un database di nomi utente e password rubati da un sito Web (ad esempio, un forum di discussione online) e li provano su un'altra piattaforma (ad esempio Facebook). Poiché così tante persone riutilizzano le stesse credenziali di accesso su più siti Web, alcuni profili di Facebook potrebbero essere compromessi nonostante il social network stesso non sia stato preso di mira dagli hacker.

Alcune statistiche recentemente pubblicate da Microsoft hanno dimostrato che l'irrorazione delle password è abbastanza comune al giorno d'oggi. In un attacco a spruzzo di password, i truffatori prendono un elenco di nomi utente noti e li accoppiano con alcune password comunemente usate e facili da indovinare. Ancora una volta, la tendenza delle persone a utilizzare le stesse password deboli significa che i criminali informatici possono penetrare negli account degli utenti con relativa facilità.

Vimeo ha affermato che il malware ha rubato le credenziali degli utenti

David Smith sapeva di non essere stato preso di mira da un attacco di imbottigliamento delle credenziali, ed era anche abbastanza sicuro che non fosse coinvolto lo spruzzo di password. Era fiducioso che qualcos'altro fosse il problema perché, a differenza di molte persone, stava usando una password unica, generata casualmente per il suo account Vimeo.

Sconcertato, si rivolse al Registro nel tentativo di capire cosa fosse successo. I giornalisti non erano i più saggi, ma hanno contattato Vimeo e la piattaforma di condivisione video ha finalmente rivelato cosa stava realmente succedendo. Un rappresentante ha detto al Registro che il team di sicurezza di Vimeo aveva trovato "un elenco di combinazioni di e-mail e password compromesse catturate da malware". Il modo in cui li hanno trovati rimane sconosciuto, ma li hanno controllati e si sono resi conto che almeno una parte dei dati era valida. Per proteggere gli utenti, hanno bloccato l'accesso agli account interessati.

Non è chiaro quanto fossero facilmente accessibili le credenziali rubate, ma è sicuro dire che qualunque sia la circostanza, congelare i conti è stata la cosa giusta da fare. Ciò che non è del tutto chiaro, tuttavia, è il motivo per cui Vimeo lo ha fatto senza informare gli utenti e il resto del mondo. Anche ora, dopo che la storia è arrivata alla raccolta di notizie settimanali di The Register, Vimeo non ha rivelato alcun dettaglio specifico attraverso i normali canali di informazione, il che significa che alcuni utenti potrebbero ancora non essere consapevoli di ciò che sta accadendo. Potrebbero non sapere che dovrebbero scansionare i loro dispositivi alla ricerca di malware e modificare le loro password.

Azioni come questa dovrebbero rafforzare la fiducia delle persone nei confronti del fornitore di servizi, ma quando non vengono adeguatamente spiegate, possono avere l'effetto opposto. Speriamo che continueremo a vedere le piattaforme online che si prendono cura dei loro utenti e assisteremo anche a una gestione più trasparente degli incidenti di sicurezza.