L'Università del Michigan incolpa le perdite di password sulle violazioni dei dati di terze parti

Venerdì, gli studenti dell'Università del Michigan (UM) sono stati avvisati di un elenco di credenziali di accesso che fluttuava intorno. Il file è stato distribuito liberamente e conteneva effettivamente decine di migliaia di coppie di indirizzi e-mail e password in chiaro di @umich.edu. Alcuni studenti hanno dato un'occhiata all'elenco e hanno avuto paura di scoprire che i loro dati di accesso erano validi. Com'era prevedibile, inizialmente hanno dato la colpa alla porta della messaggistica unificata, ma in seguito si è scoperto che l'istituzione non era responsabile della perdita in alcun modo. In effetti, si è scoperto che erano gli studenti che avrebbero potuto fare molto di più per proteggersi.

I dati di accesso sono stati divulgati durante violazioni non correlate

Poco dopo che le liste sono diventate pubbliche, l'Università del Michigan ha pubblicato un advisory ufficiale, spiegando che gli indirizzi e-mail e le password trapelati provenivano da violazioni dei dati di terze parti. L'università ha assicurato ai suoi studenti che i suoi sistemi non sono stati compromessi e ha annunciato che ripristinerà le password se vede un pericolo reale di accesso non autorizzato.

Dopo aver chiarito cosa era successo esattamente, la consulenza ha dato agli studenti alcuni suggerimenti su come migliorare la loro sicurezza online complessiva. Bisogna dire che se gli studenti avessero seguito questi suggerimenti prima che l'elenco delle password fosse pubblicato, la consulenza sarebbe stata del tutto superflua.

Come gli studenti della UM si sono messi in pericolo

L'elenco di nomi utente e password mette gli studenti della messaggistica unificata a un rischio molto reale di attacchi di riempimento delle credenziali. Per quelli di voi che non lo sanno, in un attacco di ripieno di credenziali, gli hacker prendono un ampio elenco di nomi utente e password rubati da un servizio e li provano contro più altri. Sperano che molte persone utilizzino le stesse credenziali su molti siti Web diversi e che il riempimento delle credenziali sia ampiamente considerato il modo migliore per compromettere un numero elevato di account con il minimo sforzo dimostra che la loro scommessa di solito paga.

È risaputo che l'unico modo per fermare gli attacchi di riempimento delle credenziali è quello di interrompere il riutilizzo della password, ma è chiaro che questo è più facile a dirsi che a farsi. Ecco perché esiste l'autenticazione a due fattori.

L'Università del Michigan ha pensato alla sicurezza dei suoi studenti e ha implementato un sistema che richiede all'utente di rispondere a una chiamata, inserire un codice o toccare una notifica push per accedere correttamente. Sfortunatamente, non è abilitato per impostazione predefinita ed è difficile dire quanti studenti lo stanno utilizzando.

Probabilmente dovremmo toccare anche la questione della provenienza dei dati. Nel suo advisory, l'Università del Michigan ha menzionato tre fornitori di servizi online che sono stati violati in passato e avrebbero potuto fungere da fonte degli indirizzi e-mail e delle password trapelate: Chegg, LinkedIn e Zynga. Dovremmo sottolineare che nessuno ha confermato ufficialmente da dove provengono i dati rubati, ma andremo con questi tre fornitori per illustrare l'importanza di pensare a quale indirizzo email stai usando quando ti registri un account online.

Chegg offre servizi nell'ambito dell'educazione e puoi vedere come uno studente potrebbe utilizzare il proprio indirizzo email dell'Università del Michigan per registrarsi per un account Chegg. LinkedIn è il social network professionale più popolare al mondo e potresti anche essere in grado di giustificare l'associazione di un profilo lì con un indirizzo @umich.edu.

Zynga, d'altra parte, è uno sviluppatore di giochi online. Ti chiede di registrarti in modo da poter coltivare verdure virtuali o risolvere cruciverba online. L'uso di un indirizzo email universitario per creare questo tipo di account non sembra proprio la cosa giusta da fare e, come puoi vedere, può anche mettere a rischio la tua sicurezza online.

La necessità di destreggiarsi tra così tanti account online ha portato alcune persone a credere che abbiamo perso completamente il controllo sui nostri dati. Questo è vero solo fino a un certo punto. Quando abbiamo bisogno di comunicare con persone che sono in grado di modellare il nostro futuro, dobbiamo usare indirizzi email ufficiali. D'altra parte, quando prevediamo aggiornamenti da un gioco mobile che fa perdere tempo, probabilmente stiamo meglio usando un'e-mail usa e getta di cui non ci preoccupiamo troppo. Dopotutto, non dobbiamo dimenticare che sia il nome utente che la password devono essere identici se un attacco di riempimento delle credenziali funziona.