www.MegaLab.it

Due servizi Internet estremamente popolari hanno mostrato alcuni problemini legati alla sicurezza nel corso degli ultimi giorni.

Amazon

Per quanto riguarda Amazon, il colosso statunitense delle vendite on-line, è stato portato alla luce un problema nella gestione del login che potrebbe consentire ad un aggressore di "indovinare" le parole d'accesso degli utenti in modo più semplice di quanto previsto.

Nello specifico, pare che il sistema di login accetti indistintamente la password anche in caso questa sia stata scritta senza rispettare le maiuscole/minuscole: in caso la frase scelta dall'utente fosse, ad esempio, la stringa miapass, il sistema consentirebbe l'accesso anche in caso venisse digitata come MiApAsS o altre varianti.

Inoltre, il sistema ha memorizzato le password riducendole automaticamente ai primi 8 caratteri e scartando tutto il resto, azzerando il livello di sicurezza addizionale di coloro che fossero stati particolarmente attenti in fase di registrazione.

A quanto pare, solo gli account più datati sono interessati dalle mancanze. Chi invece si è registrato oppure ha cambiato la stringa "di recente" (quanto, di preciso, non è chiaro) ha potuto sfruttare un nuovo meccanismo epurato da entrambe le limitazioni.

Per tutti quanti, la raccomandazione è comunque quella di cambiare immediatamente la password utilizzata. Il modo più rapido per farlo è quello di inserire l'indirizzo e-mail associato al proprio account in questo form insieme al CAPTCHA e quindi procedere con Continue. Amazon provvederà a spedire una e-mail contenente un link segreto, seguendo il quale sarà possibile scegliere una nuova parola segreta.

Il pericolo non dovrebbe essere sottovalutato da nessuno di coloro che fossero registrati al sito: Amazon conserva generalmente anche il numero di carta di credito fra le informazioni del profilo, dato che sarebbe facilmente leggibile da un cracker che riuscisse ad eseguire log-in con le credenziali dell'utente.

SourceForge

Per quanto riguarda SourceForge, il punto di riferimento per molti progetti open source, si parla invece di un attacco portato a termine con successo da un cracker (o da un team di assalitori) che, facendo leva su alcuni difetti nell'infrastruttura tecnica, sono riusciti a guadagnarsi un livello d'accesso superiore a quanto consentito.

L'estrema rapidità con la quale i tecnici hanno reagito parrebbe comunque aver ridotto i danni praticamente a zero.

Ciò nonostante, il team ha scelto di disabilitare preventivamente gli account di tutti gli utenti registrati. Per poterli riattivare, è sufficiente accedere a questa pagina, immettere il proprio indirizzo e-mail e seguire la normale procedura di cambio password tramite il link inviato per posta.

Qualche suggerimento per password efficaci

Per alcune indicazioni pratiche circa la scelta di una password efficace ma, allo stesso tempo, facile da ricordare, si veda l'articolo "Come scegliere e organizzare le password".

Chi fosse alla ricerca di un livello di sicurezza ancora maggiore, può affidarsi invece ad un gestore completo ed open source: ne abbiamo parlato in "Gestire tutte le password in modo semplice e veloce? Da oggi si può, con KeePass".