I siti "qualitapa.gov.it" e "rainews24.rai.it" sono stati hackerati, e le credenziali di accesso ad essi pubblicate su pastebin.com!
Scorrendo la lista di credenziali, salta all'occhio che per la maggior parte di esse le password associate sono, molto probabilmente, quelle assegnate dalla piattaforma. Ma per alcune utenze invece la password è stata cambiata dagli stessi utenti.
Ottimo, se non fosse che spesso gli utenti riutilizzano le stesse password per accessi ad altri siti (tipo la posta elettronica...). Ovviamente in questi casi a rischio non c'è solo l'accesso alla piattaforma hackerata ma anche i diversi servizi acceduti dall'utente. Con un po' di prove e conoscendo email e password si possono guadagnare accessi sempre crescenti. E se poi si riesce ad avere accesso alla casella di posta elettronica...
Controllate quindi se siete nelle liste, o se ci sono persone che conoscete, ed avvisatele. E comunque anche se la password è quella di default, cambiatela!
Però una riflessione è d'obbligo: ancora con le password storate nei DB? Ma basta! Nel DB ci vanno solo gli Hash crittografici delle password e non le password (anche se cifrate).
Cioè vuoi dirmi che nel DB salvavano direttamente le password? Ma chi gli ha insegnato a sviluppare, Topo Gigio? O.o
RispondiEliminaHash non sono...troppo corti e poi qualche password è human readable! Anche se fosse il risultato di un attacco con Rainbow Table o Dictionary non credo che le password trovate siano così "umane".
RispondiEliminaHo notato password del tipo "pippo" o cose molto particolati con segni di interpunzione...