WordPress.org è incappato in un problema di sicurezza che obbligherà l’azzeramento delle password degli utenti. Si tratta di una non meglio precisata vulnerabilità dovuta ad alcune backdoor presenti in almeno tre plug-in tra i più popolari come AddThis, WPtouch e W3 Total Cache, che a quanto sembra sono stati modificati da terzi (che hanno avuto accesso alla repository in modo da modificare i file originali).
Continua »
Sotto attacco i server di WordPress.com. A rivelarlo è stata la stessa Automattic, in un post sul blog ufficiale. Un attacco di basso livello che ha compromesso solo potenzialmente la sicurezza degli account, ma il rischio vero è legato alla diffusione di frammenti di codice dei partner.
Continua »
Dopo l’attacco ai server di Gawker Media con cui circa 1,3 milioni di email e password degli utenti sono state sottratte dai database del network di blog, è giunta notizia che tutti i dati sono stati diffusi su The Pirate Bay, ponendo così a serio rischio la privacy e la sicurezza degli account creati su altri siti, con gli stessi identificativi.
LinkedIn ha inviato
un’email di avviso agli utenti che hanno utilizzato per la registrazione un indirizzo email impiegato su uno dei blog del network di Gawker, in quanto a seguito della diffusione dei dati rubati dal database, potrebbero verificarsi accessi non consentiti al proprio account, laddove fosse stata utilizzata anche la stessa password (comportamento piuttosto comune tra gli utenti).
Continua »
Durante il fine settimana appena trascorso, i server di Gawker Media sono stati compromessi. Un gruppo di hacker identificatosi come Gnosis ha superato le difese dei database del network, di cui fanno parte siti noti come Lifehacker, Gizmodo, Gawker, Jezebel, io9, Jalopnik, Kotaku, Deadspin e Fleshbot, e ha rubato le password di accesso utilizzate dagli utenti che pubblicano commenti alle news.
Inizialmente l’azienda aveva negato la notizia, ma ora ammette che gli hacker hanno avuto accesso al database dei commenti e al sistema di gestione dei contenuti. Sui siti del network è stato pubblicato un avviso che invita gli utenti a cambiare la password e usare una password diversa per ogni sito del network. Gli utenti che invece utilizzano Facebook Connect sono al sicuro, in quanto la password non viene memorizzata nel database.
Continua »
L’informatica, ma in particolare il Web 2.0, hanno aumentato notevolmente le possibilità creative e di comunicazione degli utenti. Eppure, tutta questa fantasia non sembra essere stata messa in atto dagli utenti al momento di scegliere la propria password per accedere a servizi come l’account di posta, l’account sui vari social network nonché al proprio conto corrente online, ad esempio.
Secondo un’analisi di Imperva, dagli anni ’90 ad oggi le abitudini degli utenti in fatto di password non sembrano affatto cambiate, anzi, se prima la password più usata era “12345″, adesso è “123456“, ovvero la stessa password con l’aggiunta del numero successivo: non certo il massimo dell’inventiva e della creatività insomma.
Continua »
Gli attacchi a “forza bruta” per individuare username e password di amministrazione, di un sistema o di una normale applicazione Web, non sono ancora passati di moda.
Questa volta ad essere interessate dal problema sono potenzialmente le tante installazioni di WordPress sparse in giro per il Web.
Nella giornata di lunedì 30 novembre infatti sul blog del SANS Internet Storm Center è comparsa una notizia alquanto allarmante dal titolo “Distributed WordPress admin account cracking“.
La scoperta di uno dei lettori del sito è che all’interno di un virtual private server (VPS) ha individuato uno script PHP che esegue un attacco di tipo brute-force ai danni degli account di amministrazione WordPress.
Continua »
Lo scorso giovedì, sulle pagine di PasteBin.com hanno fatto la loro comparsa i dati di accesso a circa 10.000 account di Windows Live Hotmail.
Si tratta della più imponente violazione registrata nei quasi 15 anni di attività del servizio. A riportarlo è Neowin.net, che conferma di aver verificato in prima persona come le credenziali fossero autentiche, prima che venissero rimosse dal sito.
Continua »
Sophos, che si occupa di ricerche e soluzioni per il mercato della sicurezza informatica, ha effettuato un’indagine prendendo in considerazione circa 700 operatori che utilizzano sistemi informatici all’interno di diverse aziende.
La ricerca mirava ad individuare il comportamento degli utenti relativo alla scelta e alla conservazione delle password che utilizzano per accedere a servizi online e offline, personali o di lavoro.
Continua »
“L’anello debole nella catena della sicurezza è l’uomo”: su questo punto si basa gran parte dell’ingegneria sociale. Proprio la scelta della password è uno degli aspetti più importanti nella protezione dell’accesso ai propri dati personali.
Spesso infatti si sottovaluta questa scelta: così, preoccupati più dal ricordarsi la password piuttosto che sceglierne una difficile da scoprire, si opta per una semplice.
A dimostrazione di questo, c’è una recente analisi, frutto di un attacco subito da un sito Web tempo fa, da cui si sono carpite ben 28.000 password.
Continua »
Qualche giorno fa (il 28 gennaio 2009) si è “festeggiato” il Data Privacy Day, una giornata per promuovere e sensibilizzare gli utenti sul tema della protezione dei dati personali sul proprio personal computer e durante la navigazione in Rete.
In passato, anche noi di oneITSecurity abbiamo proposto articoli in cui presentavamo software per la protezione dei dati tramite crittografia o altri per la gestione delle password.
In questo articolo invece, a seguito del Data Privacy Day, presento una raccolta di quelli che ritengo essere i migliori software per la protezione dei dati su Windows, Mac e Linux.
Continua »
