Le violazioni dei database, in cui grandi aziende come Adobe, eBay o Sony perdono traccia delle copie dei loro database di utenti e fatturazione, stanno diventando notizie quasi settimanali alla fine del 2014.
A volte questo viene dato a un hacker, altre volte è solo un caso noioso di non sapere dove sono finite tutte quelle chiavi USB o nastri di backup.
I consumatori dovrebbero rispondere alle notizie – che riescono a essere allo stesso tempo preoccupanti e vaghe – con cambiando docilmente le loro password, anche se non pensano di essere inclusi nel database che è stato rubato. Il presunto furto del database di eBay ha attivato una modifica obbligatoria della password per tutti, in tutto il sistema.
Ho qualche problema con questo approccio, perché, ad essere onesti, ho un sacco di identità web diverse. Una volta che ti sei registrato a un numero sufficiente di servizi per la revisione, questo diventa inevitabile: ho una sfilza di nomi di accesso ed e-mail e capire quale va con quale servizio diventa una prova quotidiana.
Ciò è in parte dovuto alla mia disorganizzazione, ma è anche una questione di sicurezza personale: solo perché l'intero servizio IT business ha dichiarato che un singolo indirizzo email dovrebbe essere l'arbitro dell'identità, non significa che questo approccio sia nel mio migliore interesse. Sarebbe difficile dedurre il mio nome utente per il mio principale conto bancario online da quello che utilizzo per deviare l'inevitabile spam di marketing che segue un download di software di prova in questi giorni.
Questo approccio mi colloca in un gruppo molto rarefatto. La maggior parte delle persone è incoraggiata sia dai consigli quotidiani degli operatori di e-commerce pigri, sia dai propri limiti di memoria, a avere solo una combinazione nome utente/e-mail e forse alcune password diverse, riutilizzate più e più volte su vari Servizi.
Man mano che questo conteggio aumenta (e gli studi del settore mostrano una tendenza diretta: un servizio 3 anni fa, tra quattro e sei ora e nove o più tra 3 anni), aumenta anche l'insicurezza. I maligni hacker black-hat lo sanno molto bene, e questo aumenta il valore di un elenco di nomi utente rubati: non perché gli hacker vogliano accedere al tuo Adobe account (per citare la più grande violazione recente al momento in cui scrivo), ma poiché vogliono accedere al tuo login Mastercard, supponendo che tu abbia riutilizzato lo stesso credenziali.
Quindi diventa davvero essenziale sapere se il tuo nome o i tuoi nomi figurano in quelle liste rubate. Ma come controllare?
Inserisci Troy Hunt - è l'operatore di http://haveibeenpwned.com. Digita la tua e-mail o ID utente nel suo sito e controlla le sue copie memorizzate nella cache degli elenchi rubati per vedere se sei a rischio. Come mi sta diventando abituale con questo tipo di indagine, nessuna delle mie identità fa scattare l'allarme, ma ho fatto un'ipotesi selvaggia e ho inserito l'indirizzo e-mail di un ex cliente per produrre lo screengrab che vedi Qui.
So cosa stai pensando: perché dovresti fidarti di un sito che a) non ha www, e b) usa il linguaggio degli hacker come parte del suo nome di dominio? Non ci sono tutte queste persone insieme? Chi è questo ragazzo? Mr Hunt, invece, ha un'identità facilmente rintracciabile in rete e un utilissimo blog dove racconta le curiosità e le vicissitudini della gestione di un servizio pubblico. È, nel gergo del settore, un “cappello bianco”.
Questo è un ruolo fondamentale, visto come si sono sviluppati l'e-commerce e le relazioni con i clienti – certamente nessuna delle aziende interessate l'ha fatto preso misure di questa natura per aiutarti a capire se il tuo piano di sicurezza personale ha finito per funzionare contro il tuo interessi.
In un mondo ideale, aziende del calibro di Adobe ed eBay pagherebbero le spese di hosting di Troy Hunt su Azure (che è dove risiede haveibeenpwned.com), perché la maggior parte delle violazioni appare per essere fallimenti del dovere di diligenza, e la maggior parte dei processi di pulizia sembra essere lasciata a una libera alleanza di commentatori, diffusori di voci, paranoici e hacker dal cappello bianco.
In effetti, havibeenpwned.com esiste già da alcuni anni, ma Troy ha aggiunto ulteriori elenchi alla risorsa come furti e violazioni continuare, il che lo rende un'utilità progressivamente più utile e rilevante, anche se sospetto che il modo in cui l'uomo della strada reagisce alla tecnologia e al la miscela di rischi derivanti dall'hacking non cambierà molto, anche se fai la cosa dello spirito pubblico e fai loro sapere se il loro nome risulta essere nel gruppo a rischio.
Questo è uno di quei classici momenti in cui "sai di essere un nerd se...", in cui il massimo che puoi sperare è che alcune delle persone sottoposte ai controlli potrebbero arrivare al punto di cambiare le loro password, un po' di più Spesso.
