Hanno davvero rubato miliardi di password?

Martedì 5 agosto la società statunitense di sicurezza informatica Hold Security ha annunciato che un gruppo di hacker russi – che si fa chiamare CyberVor – è entrato in possesso di 4,5 miliardi di dati di accesso a vari servizi online, compresi 1,2 miliardi di nomi utente e password, metà dei quali utilizzati per accedere ai sistemi di posta elettronica. La notizia è stata ripresa il giorno seguente dal New York Times, che ha pubblicato un lungo articolo dicendo di avere fatto verificare le dichiarazioni di Hold Security da alcuni esperti che hanno confermato l’estensione del furto di credenziali da parte del gruppo di hacker. Nonostante le verifiche, le notizie intorno a quello che è stato definito “il più grande attacco informatico del secolo” sono ancora molto parziali, e numerosi esperti di sicurezza informatica sono molto scettici sulla possibilità che sia stata davvero sottratta una simile quantità di dati riservati, senza che nessuno se ne potesse accorgere prima.

Finora, scrivono sul Guardian, Hold Security non ha reso pubbliche le informazioni che dice di avere raccolto sulla serie di attacchi informatici organizzati da CyberVor. Secondo la società, il gruppo di hacker avrebbe attaccato con vari sistemi circa 420mila siti per ottenere le credenziali. Hold Security non ha però diffuso un elenco dei siti interessati, dicendo di non averlo fatto per motivi di tutela e sicurezza di chi ha subito un attacco: se fosse resa pubblica l’informazione, spiega la società, si saprebbe che un dato sito è vulnerabile.

In compenso Hold Security offre un servizio a pagamento per sapere se il proprio account sia stato violato da CyberVor. L’opzione costa 120 dollari, con la quale si ottiene un abbonamento annuale ai servizi della società di sicurezza (10 dollari al mese). Come osserva Kashmir Hill su Forbes, Hold Security ha quindi diffuso una notizia piuttosto allarmante sulla violazione di miliardi di account, mettendo subito dopo in piedi un sistema a pagamento per scoprire se i propri dati siano o meno coinvolti. La società ha risposto alle critiche dicendo che il sistema a pagamento serve per recuperare i costi che ha dovuto affrontare per scoprire la serie di attacchi informatici, e per identificare i servizi e i siti che sono stati coinvolti.

Oltre alla discutibile scelta di fare allarmismo sulle credenziali rubate offrendo poi una soluzione a pagamento, ci sono diverse altre cose che restano poco chiare sull’annuncio del “furto del secolo” di account e password. Prima d’ora, spiegano diversi esperti di sicurezza informatica, in pochissimi avevano sentito parlare di Hold Security ed è strano che altre società più grandi e conosciute che si occupano di queste cose – come Symantec o Kaspersky – non abbiano rilevato negli ultimi mesi attività particolarmente sospette intorno al gruppo di hacker russi.

Brad Karp, che insegna informatica e sistemi di rete presso l’University College London, ha detto al Guardian di essere per ora molto scettico sulle dichiarazioni di Hold Security. La società ha dato scarse e vaghe informazioni su come CyberVor avrebbe condotto i propri attacchi e su come avrebbe ottenuto una quantità così grande di credenziali altrui. “Ci è stato detto che alcuni esperti indipendenti hanno verificato i dati, ma non ci è stato detto che cosa abbiano controllato sul serio né chi siano questi esperti”, ha detto Karp facendo riferimento all’articolo del New York Times, nel quale si dice che alcuni esperti di sicurezza informatica hanno verificato per il giornale parte dei dati forniti da Hold Security.

La società di sicurezza ha dichiarato che i siti delle aziende interessate dalla serie di attacchi informatici sono moltissime, e che si va da società molto piccole ad alcune molto grandi che compaiono nell’elenco delle 500 più ricche e profittevoli pubblicato periodicamente dalla rivista Fortune. Eppure, fino a ora e a tre giorni dai primi annunci, nessuna grande società di Internet ha detto di avere subito un grave attacco o ha chiesto ai propri utenti di cambiare urgentemente le loro credenziali di accesso. Una possibilità è che non lo abbiano ancora fatto perché ci sono da sistemare le falle nei sistemi che hanno permesso a CyberVor di rubare i dati, ma in assenza di informazioni più chiare da parte di Hold Security è difficili verificare un’eventualità simile.

Nel suo articolo molto scettico sulla vicenda pubblicato su The Verge, Russel Brandom nota che Hold Security non ha nemmeno spiegato chiaramente in che modo il gruppo di hacker sarebbe entrato in possesso di così tante credenziali. Nelle informazioni diffuse fino a ora si fa vagamente riferimento ad alcune tecniche molto comuni per attaccare i siti, contro i quali almeno le organizzazioni più grandi sono ormai protette da tempo. Brandom ipotizza che, prendendo per buone le dichiarazioni di Hold Security sulla grande quantità di credenziali sottratte, il gruppo di hacker sia entrato in possesso di account e password semplicemente comprandoli dagli autori di altri attacchi informatici in giro per Internet. Nel recente passato ci sono state violazioni di milioni di password e gli elenchi contenenti questi dati sono ancora disponibili online, venduti a prezzi non molto alti. Se così fosse si tratterebbe di informazioni ormai datate e in buona parte rese inutilizzabili dalle iniziative avviate dalle società interessate per fare cambiare password ai loro clienti.

Infine, un ulteriore elemento di scetticismo è dato dal fatto che fino a ora CyberVor non ha provato a vendere i dati che ha ottenuto, né a utilizzarli per sottrarre denaro con operazioni online fraudolente. Da cosa si è capito, ne starebbero usando solo una piccola parte per organizzare campagne di spamming attraverso una serie di account Twitter, non il modo più immediato ed efficace per fare soldi illecitamente online. Secondo diversi esperti di sicurezza informatica, non si può quindi escludere che CyberVor sia in possesso di una grande quantità di dati, ma che questi siano sostanzialmente di scarsa qualità e poco utilizzabili.