È possibile collegare enormi violazioni di dati su Tumblr e LinkedIn

Google Project Zero pubblica microsoft browser day bug hacker tastiera camera oscuraL'enorme portata di una violazione dei dati che ha colpito la piattaforma di social blogging Tumblr è stata rivelata per la prima volta.

Il servizio di proprietà di Yahoo ha ammesso di essere stato violato nel 2013, ma si è rifiutato di divulgare quanti account erano stati interessati. Secondo l'esperto di sicurezza Troy Hunt, gli hacker sono riusciti a farla franca con circa 65 milioni di password Tumblr in totale, rendendola la terza più grande violazione dei dati di tutti i tempi.

Ancora più affascinante, tuttavia, è la potenziale connessione tra l'hack di Tumblr e una violazione di LinkedIn recentemente rivelata. Quest'ultimo è l'attuale detentore del record in termini di quantità di dati rubati, ma Hunt ha anche tracciato parallelismi con il modo in cui i dati vengono venduti online.

In entrambi i casi, le password estratte dall'hacker, o dagli hacker, sono tutte disponibili per il miglior offerente sul dark web. Inoltre, le inserzioni che Hunt ha notato online sono state tutte create dallo stesso venditore, un account noto come "peace_of_mind". Ciò non significa necessariamente che l'individuo sia la persona responsabile delle violazioni, ma è ancora un'altra somiglianza.

C'è anche una terza violazione, riguardante un social network un tempo popolare ma ora defunto, che si dice sia il più grande di tutti. Si pensa che MySpace sia stato violato in una data non specificata, forse durante il periodo di massimo splendore della metà degli anni 2000, e che siano stati rubati 360 milioni di record. Il fatto che tutte queste violazioni stiano ora venendo alla luce è un'altra indicazione che gli autori potrebbero essere gli stessi, secondo Hunt.

“Ci sono alcuni modelli davvero interessanti che stanno emergendo qui. Uno è ovviamente l'età; l'ultima violazione di questa recente ondata ha ancora più di tre anni ”, afferma Hunt. "Questi dati sono rimasti in sospeso (o almeno fuori dalla vista del pubblico) per lunghi periodi di tempo".

Gli esperti di sicurezza consigliano anche alle società di social media di andare oltre le password per proteggere i propri membri.

"Le violazioni di MySpace e LinkedIn sono solo altri due esempi che evidenziano perché le password non sono sufficienti per proteggere i dati sensibili", ha dichiarato a Digital Trends Vishal Gupta, CEO della startup di sicurezza Seclore. “Le soluzioni di sicurezza incentrate sui dati sono un candidato naturale per integrare la password sempre più indebolita. Applicando protezioni a livello di dati, anche se gli hacker riescono a mettere le mani su informazioni sensibili, i dati rimangono completamente inutilizzabili ".

È importante notare che Tumblr afferma che il set rubato di indirizzi e-mail degli utenti conteneva tutte password con hash salato e SHA1, che sono molto più difficili da decifrare.