Come abbiamo visto ieri, una parte dell'infrastruttura di Libero Mail è stata attaccata con successo da alcuni cyber criminali, che sono riusciti ad arrivare fino al database delle password degli utenti.
Abbiamo quindi posto alcune domande direttamente ai responsabili di Italiaonline per capire meglio cosa è successo e quali conseguenze possono avere. La maggior parte delle risposte è piuttosto stringata e l'azienda ha giustificato la sua laconicità con il fatto che è al momento in corso un'indagine delle forze dell'ordine e quindi molte informazioni non possono ancora essere rilasciate.
Italiaonline ci ha promesso però che, a indagini concluse, si renderà disponibile a parlare in maniera più completa dell'attacco. Nel frattempo, pubblichiamo le domande poste (anche quelle che non hanno ricevuto risposta) e le risposte fornite.
Che tipo di attacco ha subito l'infrastruttura? Era limitato a quella di Libero Mail o su scala più importante? Si può sapere qualcosa sulla dinamica?
L'attacco ha riguardato solo alcuni sistemi di Libero Mail. La nostra infrastruttura, come tutte le grandi infrastrutture di servizio che abbiano una rilevante base utenti - vedi i recenti casi di Linkedin, eBay, DropBox - è soggetta a tentativi di intrusione, sia diretta sull'infrastruttura stessa, sia indiretta, attraverso campagne di phishing.
A cosa hanno avuto accesso i criminali? Esattamente, quali risorse aziendali e quali database?
(I criminali hanno avuto accesso) al DB password criptate. La sola precauzione del cambio password, peraltro, vanifica l'obiettivo dei criminali. Da parte nostra consigliamo anche l'attivazione della 'Password Sicura' come ulteriore livello di sicurezza. Libero Mail è l'unico servizio di posta in Italia che consente di elevare la sicurezza della casella utilizzando il servizio Password Sicura, che protegge l'account attraverso un doppio controllo: la password della casella di posta e un codice di verifica sul telefono dell'utente. Puoi trovare tutti i dettagli a questo link.
Come erano (e probabilmente) sono protetti i DB esposti? Quali algoritmi di hashing sono stati usati?
Le password sono memorizzate in forma criptata secondo gli standard di sicurezza più evoluti. Nel tempo, abbiamo anche fatto numerose campagne dii sensibilizzazione presso i nostri utenti per l'utilizzo di password non banali: lunghe, meglio se derivate da più parole e con l'utilizzo di maiuscole/minuscole, lettere, numeri e caratteri speciali.
Replica a una nostra richiesta di approfondimento sulla risposta data, avanzando il sospetto che non volessero rivelare il fatto che le misure fossero ferme a un preistorico SHA1 o peggio
Quanto alla terza domanda, al momento non possiamo approfondire per non compromettere le indagini in corso. Appena la situazione si sarà consolidata, siamo disponibili ad un approfondimento anche telefonico o di persona avendoti ospite presso i nostri uffici. Quello che possiamo garantirti è che non siamo assolutamente fermi a SHA1. Anzi... Capirai che la nostra priorità, al momento, è tutelare gli utenti. Appena il caso sarà chiuso parleremo di tutto senza problemi.
Avete identificato il vettore di attacco? Siete riusciti a neutralizzarlo e quindi non rischiamo una ripetizione a breve?
Sull'identificazione stiamo lavorando naturalmente, ma per ovvi motivi non possiamo aggiungere altro. Naturalmente la nostra prima preoccupazione è stata quella di neutralizzare l'evento.
Si ha la certezza che il db sia stato trafugato o si sa solo che i criminali hanno avuto accesso ai dati (quindi con possibilità che sia parziale o anche solo esplorativo)?
Come abbiamo già avuto modo di dire, i criminali hanno avuto accesso al DB password criptate. Questo ci ha portato a denunciare alle autorità un Data Breach che, per sua stessa natura, implica la possibilità di acquisizione dati. Le indagini sono in corso.