Attacco a eBay: non è solo questione di password

Postato da | maggio 29, 2014 | Sicurezza, Social | No Commenti
images

Le password sono una parte chiave di Internet e non scompariranno tanto presto. La sicurezza si attua su diversi livelli di infrastruttura e di softwareeBay ha rivelato che uno dei suoi database ha subito degli attacchi e ha consigliato agli utenti di cambiare le loro password. Ma le password non sono necessariamente l’anello più debole della sicurezza di eBay. Si tratta dell’ennesima perdita di informazione che ha dato vita all’ennesimo dibattito sulla utilità delle password. Alcuni esperti consiglio l’uso di un sistema di gestione delle password, ma altri si chiedono se le password non abbiano fatto il loro tempo.

Tuttavia nel caso di eBay è importante comprendere che l’attacco non ha compromesso direttamente le password degli utenti. E’ vero che eBay ( come altri siti in questi casi) raccomanda agli utenti di aggiornare le loro password, ma queste non sono state necessariamente compromessse. L’attacco al database ha compromesso l’informazione codificata sulle password e non è detto che siano state decodificate. Inoltre eBay da tempo sostiene l’uso dell’autenticazione a due fattori che serve a proteggere meglio gli utenti. Con questo tipo di autenticazione occorre possedere anche una seconda password ( fattore) per accedere a eBay o Paypal.

Stando alle comunicazioni ufficiali di eBay è sono state compromesse le credenziali di accesso di un dipendente. Questo significa che l’attacco ha ottenuto il suo scopo inducendo un dipendente di eBay a fare qualcosa che ha portato alle rivelazione delle sue credenziali . Questa rivelazione può essere il frutto di un attacco di phishng per email o anche per qualcosa di più importante come la breccia sul device del dipendente. Non si tratta del primo caso in cui un provider chiede agli utenti di resettare la loro password dopo che sono state compromesse le credenziali di un dipendente. Molto spesso son i dipendenti di un’azienda a essere sfruttati dagli hacker come l’anello debole del difesa IT .

E’ bello che le aziende chiedano di resettare la password , ma se l’infrazione è avvenuta dall’interno e riguarda centinaia di milioni di password di un database, l’aggiornamento della password da parte dell’utente non può fare molto. Sono le organizzazioni che dovrebbero migliorare la sicurezza interna per limitare i rischi che vadano a svantaggio degli utenti. Questo può essere fatto in diversi modi , dal miglioramento della sicurezza dell’endpoint fino a un monitoraggio più stretto delle attività dei dipendenti. Andando più in là , l’utilizzo di una tecnologia di controllo degli accessi basata sui ruoli diventa critico per ogni organizzazione. Perché un solo dipendente deve poter accedere a un vasto database di oltre cento milioni di utenti? Con sistema di controllo degli accessi e con la corretta granularità dei controlli e del monitoraggio anche se l’account di un dipendente è compromesso si può ridurre il rischio.

fonte: techweekeurope.it