Robinhood ha lasciato accidentalmente alcune delle password degli utenti in chiaro

Robinhood Markets Inc. è una società di servizi finanziari di proprietà privata nota per la sua app di trading azionario senza commissioni. Di recente ha completato il suo ultimo round di finanziamento e ora si ritiene valga oltre 7,6 miliardi di dollari. Penseresti che Robinhood sarebbe perfettamente consapevole di cosa dovrebbe e cosa non dovrebbe essere fatto quando si tratta di archiviare le password , soprattutto dato che il suo servizio principale ruota attorno allo scambio di grandi quantità di denaro. Per la maggior parte, è un presupposto equo, ma come gli sviluppatori di Robinhood hanno imparato a proprie spese, possono essere commessi errori e, quando ciò accade, il potenziale danno potrebbe essere abbastanza devastante.

Come Robinhood solitamente memorizza le password degli utenti

Abbiamo discusso la questione in queste pagine e abbiamo già menzionato che se un servizio online memorizza correttamente la password, le credenziali di accesso non dovrebbero essere visibili a nessuno, inclusi i dipendenti del provider. Gli sviluppatori che progettano le loro applicazioni e siti Web secondo le migliori pratiche del settore mettono le password delle persone attraverso una funzione crittografica chiamata hashing prima di archiviarle in un database. hashing converte la tua password in una stringa di caratteri dal aspetto casuale (chiamato valore hash) che non ha alcuna somiglianza visiva con la tua password, e poiché la funzione è (teoricamente) irreversibile, gli hacker non possono usare il valore hash per indovinare ciò che il tuo la password è.

Anche hashing ha le sue insidie. Di recente abbiamo parlato di come gli algoritmi di hashing obsoleti come MD5 possano mettere a rischio le tue password. Abbiamo anche discusso di come applicazione dei sali crittografici sia parte integrante del processo di hash perché garantisce che due password identiche non producano gli stessi valori di hash.

Robinhood ha fatto i compiti. Una pagina di aiuto intitolata " Come sei protetto " dice che le password degli utenti sono sottoposte a hash con bcrypt. Questa è una buona notizia. Bcrypt è ampiamente riconosciuto come uno dei più potenti algoritmi di hashing attualmente disponibili e ha funzionalità di sale integrate in esso.

Sulla base delle informazioni in nostro possesso, possiamo affermare che il sistema è probabilmente ben progettato. Di recente, tuttavia, qualcosa è andato storto.

Le password di Robinhood sono state lasciate in chiaro a causa di un errore tecnico

Al inizio di questa settimana, alcuni utenti di Robinhood hanno iniziato a ricevere notifiche che informavano che le loro password non erano state gestite correttamente. Le e-mail sono state segnalate per la prima volta da ZDNet e hanno affermato che le password di alcune persone "potrebbero essere state" memorizzate in un formato leggibile sui server back-end di Robinhood. Non appena hanno scoperto il difetto, gli sviluppatori del app hanno iniziato a risolverlo e, al momento della pubblicazione delle notifiche, la vulnerabilità era già stata risolta. Il team di Robinhood ha dichiarato di non avere prove di nessuno al di fuori del azienda che dia un occhiata alle password, ma nonostante ciò, hanno comunque affermato che gli utenti interessati potrebbero voler cambiare le loro password "per una grande cautela". ZDNet ha chiesto a Robinhood il numero di account interessati, ma i portavoce del app hanno deciso di non rivelarlo.

Questa non è la prima volta che succede

Va detto che le persone che lavorano per servizi online molto più grandi di Robinhood hanno commesso errori simili. anno scorso, ad esempio, Twitter ha rivelato che per un breve periodo ha archiviato le password di tutti i suoi 330 milioni di utenti in forma semplice. Qualche settimana prima, GitHub aveva ammesso che alcuni membri del suo personale avrebbero potuto accedere alle credenziali di accesso delle persone anche in chiaro. In altre parole, queste cose accadono di tanto in tanto. Robinhood non è la prima applicazione per esporre internamente le password delle persone e probabilmente non sarà ultima.

Questo, tuttavia, non rende il problema meno grave. In effetti, in tutti questi casi, le password erano accessibili solo ai dipendenti, il che limita un po il pericolo. Tuttavia, gli sviluppatori dovrebbero fare tutto il possibile per garantire che questi errori vengano evitati in futuro.