Curiosità & notizie,  Non categorizzato,  Notizie,  Tecnoblog

Molti siti hanno diffuso dati privati per errore, incluse le password

image_pdfimage_print

Un baco nel servizio di distribuzione di contenuti Cloudflare ha prodotto una fuga di dati di molti siti

Carola Frediani

Le password, i messaggi privati e altri dati delicati degli utenti di numerosi siti web potrebbero essere stati messi a rischio. Il numero di siti coinvolti, così come la quantità di dati, restano imprecisati, anche se potrebbero essere ampi. Si parla potenzialmente di migliaia di siti, app e servizi – inclusi colossi come Uber, FitBit, OkCupid, Medium. La causa è un leak (una fuga di dati) che, a seguito di un errore di programmazione, ha riguardato alcuni servizi internet di Cloudflare. E di conseguenza una parte di suoi clienti, che complessivamente contano milioni di siti web. La vulnerabilità ha prodotto una fuga di dati piuttosto seria, anche se il suo impatto concreto sugli utenti è probabilmente marginale, e ancora da valutare pienamente. Non è stato dimostrato che l’errore sia stato effettivamente sfruttato da qualcuno prima di adesso con scopi malevoli. Ma probabilmente comporterà per molti utenti il suggerimento di cambiare password.

 

Cloudflare è una multinazionale che, attraverso una rete distribuita di server, fornisce un servizio per accelerare la distribuzione dei contenuti di milioni di siti web, gestendo nel contempo i loro picchi di traffico (e quindi anche alcuni tipi di attacchi informatici). Un errore di programmazione del suo servizio – evidenziato dal ricercatore di Google, Tavis Ormandy – ha fatto sì che per alcuni mesi, da settembre a febbraio, una parte (non tutti) dei siti che sono clienti di Cloudflare lasciassero in giro dei residui, chiamiamoli così per capirci, di sessioni utente. E quindi di password, cookie, ma anche messaggi e dati di varia natura. Ormandy dice di aver trovato anche messaggi privati di siti di dating e di chat; i dati di servizi di gestione password; prenotazioni di hotel ecc..

 

“A causa di un difetto di programmazione, nel traffico di un sito, che veniva servito da Cloudflare all’utente, potevano esserci dei dati lasciati dalla connessione di un altro”, spiega a La Stampa Stefano Zanero, professore di sicurezza informatica al Politecnico di Milano. “Per capirci: Maria, che si stava collegando a un servizio di gestione password (come 1Password) poteva ricevere alcune tracce della sessione fatta da un altro utente che si era collegato a OkCupid”. Ora, questa fuga di dati non era chiaramente visibile agli utenti normali. Ormandy se n’è accorto perché una parte di queste informazioni che fuoriuscivano indebitamente sono state salvate nella cache di motori di ricerca come Google. Ma l’interrogativo è: se n’erano accorti anche altri prima del ricercatore?

 

Subito dopo la segnalazione di Ormandy, Cloudflare è corsa ai ripari, mettendo subito a posto la vulnerabilità (qui il loro articolo di spiegazione) e chiedendo ai motori di ricerca di eliminare i dati salvati. Resta il dubbio sulla strada che potrebbero aver preso quelli fuoriusciti nella finestra temporale di esistenza dell’errore. La vicenda è stata poi ribattezzata Cloudbleed, con riferimento a un’altra famosa e in qualche modo simile falla di sicurezza, Heartbleed.

 

“L’utilizzabilità pratica di questo baco da parte di un aggressore in realtà è molto bassa”, prosegue Zanero. “Non sono emerse tracce del fatto che qualcuno possa aver sfruttato questo bug su larga scala. Tuttavia l’episodio resta un monito sulla facilità con cui le nostre password possono essere compromesse, in molti modi, anche per dei semplici difetti di programmazione. Il consiglio è quindi di cambiarle regolarmente e di usare una password distinta per i vari servizi, ad esempio attraverso un password manager. Potremmo anche cogliere questo momento per attivare l’autenticazione a due fattori dove possibile”.

 

Probabilmente alcuni siti e servizi, clienti di Cloudflare (qui una lista non ufficiale), potrebbero richiedere un cambio password ai loro utenti. Siccome però simili occasioni sono buone anche per i truffatori (in particolare per attacchi di phishing), è bene fare attenzione a questo genere di richieste, controllare la loro provenienza e possibilmente evitare di cliccare su link arrivati via mail.

Fonte: http://www.lastampa.it/2017/02/24/tecnologia/molti-siti-hanno-diffuso-dati-privati-per-errore-incluse-le-password-djkL8ecRMae4CoazHkpETP/pagina.html