Storia dell'articolo
Chiudi
Questo articolo è stato pubblicato il 26 settembre 2012 alle ore 19:24.
Anche i più bravi possono sbagliare, e nella fattispecie chi si occupa (e si presume possano essere ingegneri con avanzate competenze) dei sistemi di sicurezza del sito dell'Ieee - Institute of Electrical and Electronics Engineers, associazione internazionale che raccoglie fra i suoi membri molti dei grandi nomi del panorama tecnologico mondiale. Ebbene una falla nei server ha tolto le protezioni del caso a 100mila username e password di diversi addetti di Apple, Google, Ibm, Oracle, Samsung e di personale dell'Università di Stanford e della Nasa.
A scoprire il bug tale Radu Dragusin, informatico e docente dell'Università di Copenhagen, che attraverso il proprio blog ha dato conto di come i dati personali in questione siano rimasti accessibili pubblicamente sull'Ftp dell'istituto, senza essere crittografati, per almeno un mese. Rendendo di conseguenza spiabili e tracciabili dai malintenzionati, una volta effettuato il "log in", tutte le attività svolte sui siti www.ieee.org e spectrum.ieee.org.
L'episodio in realtà ha conosciuto il proprio epilogo la scorsa settimana, quando l'Ieee era stata informata del problema proprio dallo stesso docente; problema a cui i tecnici hanno subito posto rimedio "dopo un'approfondita investigazione" su quello che è stato battezzato in una nota diffusa dalla stessa associazione (e riportata dal sito hi-tech americano Cnet) "un incidente non intenzionale riguardante file contenenti username e password".
Detto che l'opera di contatto con le vittime interessate è anch'essa scattata subito, Dragusin ha invece rimarcato le pecche del sistema di sicurezza dell'Ieee, evidenziando come "i log dei Web server non dovrebbero mai esser pubblicamente accessibili, dal momento che contengono solitamente informazioni che possono essere sfruttate per identificare gli utenti". Nel caso specifico l'informatico ha rilevato come 411.308 log contenessero sia username che password e tra questi 99.979 username unici.
Come spesso capita, l'errore umano sembra essere stato fatale anche in questa occasione. E l'analisi dell'esperto danese pongono l'accento in particolare su una doppia imprudenza: quella di aver aperto le porte a una directory Ftp contenente 100 GByte di log (per via, probabilmente, di un banale errore nelle impostazioni di accesso) e quella di non aver crittografato sia username che password (per esempio con una funzione has, ritenuta da Dragusin la soluzione migliore in quanto capace di ridurre ai minimi termini le conseguenze di un errore di accesso di questo tipo). Ancora una volta, insomma, la poca accortezza nella gestione delle parole chiave (dei log) si è trasformata in una pericolosa minaccia per la privacy. E questa volta le vittime sono migliaia di ingegneri del gotha dell'industria tecnologica.
Clicca per Condividere
©RIPRODUZIONE RISERVATA
Permalink
Ultimi di sezione
-
APP AND ENTERTAINMENT
Ecco le migliori app per organizzare le vacanze last-minute
di Anna Volpicelli
-
nova24
Startup, la mappa delle regioni che hanno ricevuto più finanziamenti dal Fondo Pmi
di Luca Tremolada
-
TREND
Effetto Grecia anche su Google: vacanze e crisi sono il tormento degli italiani
-
Gadget
I Google Glass cambiano faccia: arriva la Enterprise Edition?
-
DIGITAL IMAGING
Fotografia: ecco le migliori app per i professionisti dell'immagine - Foto
di Alessio Lana
-
la app della discordia
UberPop sospeso anche in Francia. E ora in Europa è fronte comune
