Vai al contenuto
Home » Forum di bittorrent compromesso: credenziali in pericolo

Forum di bittorrent compromesso: credenziali in pericolo

Il ricercatore Troy Hunt ha rilanciato nel
pomeriggio di oggi, la notizia che il forum di BitTorrent è stato compromesso e
numerose credenziali di utenti sono state trafugate e sono da considerarsi
compromesse.

In questo
advisory
,
viene data anche una raccomandazione importante. Gli utenti che usano le stesse
password su più servizi, tra cui BitTorrent, sono incoraggiati seriamente a
cambiarle.

La vulnerabilità, come scrive il team di uTorrent (parte di BitTorrent Inc),
sembra debba essere ricercata in uno dei tanti client di BitTorrent, se ho
interpretato bene visto che l’advisory non brilla per cristallinità.

Motherboard,
nel suo articolo parla di 34.000 record di utenti contenenti username,
indirizzo email, indirizzo IP (presumibilmente dell’ultima login) e la password
offuscata con SHA1.

L’articolo sottolinea come sia stato usato un salt per perturbare la password,
rendendo così vana la ricerca del valore in chiaro con le rainbow tables. Non
sapendo Motherboard come faccia ad avere questa informazione, prendiamola per
ora con le pinze.

Sembre
Motherboard,
indica come il software IP.Board sia da mettere sul banco degli imputati.
Sembrerebbe che IP.Board, sul quale si basa il forum di BitTorrent, abbia già
sofferto in passato
di numerose vulnerabilità.

Sarebbe interessante sapere, se la versione utilizzata sul forum compromesso,
fosse vulnerabile o siamo di fronte a qualcosa di nuovo.

Cosa devo fare

  • Vai su Have I Been Pwned e controlla se la tua
    login è presente;
  • Se usavi la stessa password che usavi su BitTorrent anche per altri siti,
    cambiala. Considerala compromessa;
  • Cambia la password anche su BitTorrent, ovviamente.

2 regole d’oro per vivere sereni

  • Cambia spesso le tue password. Lo so, è un reale sbattimento, sopratutto
    perché i servizi online sono in costante aumento e spesso lasciamo credenziali
    in ogni dove;
  • Usa password diverse, semplici da memorizzare e regola la complessità in
    funzione della criticità del sito;

4 regole d’oro per scrivere software sereno

  • Applica sempre le patch di security alle librerie e al software di terze
    parti che usi per sviluppare;
  • Usa accorgimenti per scrivere software robusto e sicuro;
  • Fai un penetration test applicativo ogni tanto;
  • Non usare SHA1 per offuscare le password. Usa BCrypt, SHA512 o SHA256 come
    strumenti alternativi per offuscare le password in maniera robusta.

Parlano di questa compromissione

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.