Poche ore fa il social network Twitter ha invitato tutti i suoi utenti a cambiare la password di accesso. “Un errore di sistema ha fatto sì che venissero archiviate in un registro interno della società”, ha comunicato l’azienda, aggiungendo di non avere indicazioni sul fatto che qualcuno abbia abusato di quei dati.
Il rischio per i circa 330 milioni di iscritti a Twitter, però c’è, e da qui il consiglio di modificare la formula usata per entrare nel social network. Abbiamo intervistato Marco Schiaffino, giornalista di Security Info, che ci ha spiegato nel dettaglio cosa è successo in casa Twitter e perchè, anche se la minaccia appare ridotta, faremmo meglio a cambiare subito la password di accesso al social network.
Tutti i servizi web che usano username e password per far accedere i loro utenti, utilizzano dei sistemi di protezione di questi dati e in particolare una tecnica che si chiama hashing. Banalizzandola possiamo chiamarla una codifica della password, cioè quando io inserisco la mia password, questa viene trasformata in una lunghissima sequenza di caratteri e numeri da un algoritmo. I dati trattati in questo modo sono impossibili, o per lo meno molto molto difficili, da ricavare. Avendo l’hash finale è quasi impossibile ottenere la password. Se un pirata informatico dovesse rubare i dati di Twitter, per esempio, non potrebbe estrarre la password. Quello che è successo nei sistemi del social network è che facendo un controllo si sono accorti che in realtà le password venivano anche memorizzate in chiaro in altri file all’interno dei server. In quel caso, quindi, non erano trattate e se un pirata informatico fosse entrato le avrebbe potute rubare tranquillamente.
È credibile che si sia trattato di un errore ed è credibile quello che dice Twitter quando assicura che non ci sono stati abusi su questi dati?
Faccio un esempio. È come se in un ufficio ci fosse la regola per cui i fascicoli dei clienti tutte le sere vengono messi in cassaforte e a un certo punto il titolare dell’ufficio si accorgesse che un impiegato, ogni giorno, faceva una fotocopia dei fascicoli e li lasciava sulla scrivania. È vero che è un problema di sicurezza, ma è anche vero che se non è entrato uno scassinatore nell’ufficio e non ha visto quei fascicoli, non c’è un vero rischio per la sicurezza. L’unico rischio può essere che un altro impiegato ci abbia messo il naso dentro. Da questo punto di vista la ricostruzione di Twitter è credibile e direi anche che il loro comportamento è encomiabile, perchè di solito le aziende quando trovano di questi errori correggono tutto senza fare troppo chiasso. In questo caso invece c’è stato un avviso pubblico e un consiglio precauzionale agli utenti di cambiare la password.
Che cosa può fare un ladro con delle password?
La cosa più banale è utilizzare il servizio dell’utente al suo posto, ma c’è un problema ulteriore. La maggior parte delle persone ha il brutto vizio di utilizzare la stessa password per più servizi. Siccome i pirati informatici questa cosa la sanno benissimo, nel momento in cui entrano in possesso di username e password di un servizio, ipotizziamo Twitter, provano immediatamente a usare le stesse credenziali per entrare in altri: Facebook, Gmail o anche servizi di carattere finanziario. Il rischio, quindi, è piuttosto elevato. La cosa buffa è che questa notizia è arrivata proprio nella giornata mondiale della password, cioè la giornata in cui si cerca di sensibilizzare sull’uso di password appropriate e di protezione delle password.
