donald trump twitter
(Ansa)
donald trump twitter
Social network

Siamo tutti un po' Trump

Gli hacker hanno colpito l'account twitter del Presidente Usa, scoprendo la sua password (troppo facile)

Qualche ora fa è stata pubblicata una storia che aveva qualcosa di straordinario, forse credibile solo perché questo 2020 è stato tutto fuorché normale.

Degli Ethical hacker (quegli esperti di Cyber Security impegnati nella ricerca e nello sviluppo di contromisure contro i criminali informatici) olandesi affermano di essersi introdotti nell'account Twitter di Donald Trump utilizzando una password facilmente indovinabile: maga2020!

L'hacker coinvolto, Victor Gevers, ha cercato di entrare nell'account di Trump lo scorso venerdì mattina.

Gevers dice che gli ci sono voluti solo cinque tentativi per indovinare la password, ma è rimasto sorpreso che gli sia stato permesso di arrivare a tanto.

"Mi aspettavo di essere bloccato dopo quattro tentativi falliti", ha detto al giornale. "O almeno gli sarebbe stato chiesto di fornire ulteriori informazioni". Niente di tutto questo".

Dopo aver notificato le autorità, il ricercatore sostiene che la password sia stata prontamente cambiata e che tutto è tornato nella norma.

Curiosamente, Gevers è lo stesso che nel 2016 era già riuscito ad entrare nell'account del POTUS.

Secondo un giornale olandese (Vrij Nederland), nel 2016 assieme ad un gruppo di ricercatori – che si fanno conoscere solo con il nome di Edwin e Mattijs – stava indagando un database di password rubate a LinkedIn e poi pubblicate online in chiaro.

Scorrendo tra i vari nomi e le varie combinazioni, immaginate la sorpresa nel trovarne una che sembrava appartenere a questo account: donaldtrump@trump.com.

Dopo aver "assorbito" il colpo i tre sono velocemente riusciti a estrarre la password per capire se fosse veramente possibile entrare nell'account LinkedIn del – al tempo – candidato alla Presidenza degli Stati Uniti.

Ah, piccola nota di colore, la password in questione? Yourefired – la frase che aveva reso celebre il magnate americano nel programma tv the apprentice.

Questo voleva dire che Trump non aveva mai cambiato la sua password, anche dopo la notizia del furto massiccio di credenziali avvenuto su LinkedIn.

E non si tratta solo di Trump, naturalmente.

È legittimo aspettarsi di più dal leader della "prima democrazia", ma inutile nasconderlo, spesso siamo colpevoli anche noi di questa brutta abitudine di riutilizzare password semplici per ogni nostro account e di non cambiarle mai!

Abbiamo la coscienza pulita?

Capita spesso di leggere di password rubate ma la vera domanda è: ogni volta che sentiamo una notizia simile, poi ci preoccupiamo di cambiare la nostra password quando siamo anche noi clienti dell'organizzazione colpita? (soprattutto se la stessa viene utilizzata da più parti!)

La risposta dovrebbe essere "ovviamente si". Ma tra il dire e il fare…

L'unica salvezza, fortunatamente, è che le password non sono ovviamente salvate "in chiaro", cioè leggibili così come le scriviamo, sul web.

Vengono salvate sottoforma di quello che viene chiamato "hash" un codice alfanumerico che viene utilizzato per verificare che la password fornita sia corretta, ma che non può essere riformulato all'indietro per rivelare quale fosse.

Di conseguenza, la maggior parte password rubate che arrivano da Data breach richiedono che i criminal hacker prima di tutto decifrino la vostra password provando una lunga lista di congetture fino a quando non ne trovano una che corrisponda all'hash della vostra password.

In parole povere, più lunga e complessa è la vostra password, più tempo ci vorrà perché i truffatori la decifrino.

Quindi password sarà probabilmente la prima che proveranno, ma è improbabile che riescano a indovinare QWIOGNOAEOFAPOSDIQMVIOS9321!, perché ci potrebbero volere giorni, o mesi, o anche anni.

In altre parole, se una delle aziende di cui siamo clienti ci notifica che il nostro hash della password è stato acquisito da aggressori, rimarremo comunque al sicuro cambiando la nostra password prima che i truffatori riescano a decifrarla.

Anche se la violazione è avvenuta settimane o mesi fa, probabilmente siamo ancora in tempo per battere i truffatori, sempre che abbiamo scelto con saggezza.

Questo ovviamente non ha nessun valore se la nostra password è mario

Esistono per fortuna alcuni accorgimenti chiave quando scegliamo una password.

In primis, dimenticate le parole di senso compiuto: anche pescando "a caso dal vocabolario", per quanto possa essere lunga, sarà sempre più facile per i software di decrittazione in mano ai Criminal Hacker decifrarla (programmi automatici in grado di provare centinaia di migliaia di combinazioni).

Ricordiamoci sempre quindi di includere:

  • lettere maiuscole e lettere minuscole
  • caratteri speciali, ad esempio accenti e simboli
  • numeri
  • almeno 8 caratteri. Ma è molto meglio se si arriva a 12 e oltre

Ma questo dovrebbe essere solo il "piano terra" del mettere in sicurezza i nostri account…

Tanti dei gesti e delle azioni che compiamo ogni giorno con il nostro pc o il nostro smartphone mettono a rischio la sicurezza di tutti i nostri account.

Dimentichiamoci, quindi, di loggarci con gli account dei nostri social per accedere a determinati servizi, cosa che molte piattaforme rendono possibile (si chiama social login). Nel caso in cui la nostra password di Facebook – per esempio - dovesse venir scoperta, il Criminal Hacker potrebbe entrare in tutti i siti e in tutti i nostri account.

Un altro step fondamentale, per ogni servizio che lo rende fattibile, è attivare l'autenticazione multifattore: si tratta di un sistema di sicurezza che permette di aggiungere alla semplice password un codice, che in genere è inviato sul nostro Smartphone e che permette di rendere ancora più difficile la vita dei criminali informatici.

Insomma, anche se i nostri account non saranno mai ambiti come quello di Trump, è sempre bene rimanere attenti…Non abbassiamo la guardia!

Ti potrebbe piacere anche

I più letti