Il caso GMail e il buco che non c’era


facepalmUna mattina di settembre il web tremò: “5 milioni di account Google compromessi con password pubblicate in chiaro“!

Per farla breve: un “hacker” russo si è preso la briga di pubblicare su un forum un file contenente quasi 5 milioni di account gmail (ma non solo) e relative password in chiaro.
Un’anima pia ha ripubblicato il file senza le password, ufficialmente per permettere alle persone se il loro account fosse tra quei 5 milioni.
Contestualmente viene messo su un sito i cui è possibile fare il controllo senza doversi scaricare e greppare il file.

La cosa puzza sin dall’inizio.
Tutte le notizie relative al leak non fanno altro che riportare la notizia originale (5 million ‘compromised’ Google accounts leaked) e Google non conferma la violazione dei suoi server.

Non solo, affida l’unica dichiarazione alla sede russa, la quale si limita a dire che “stanno verificando, ma intanto è bene attivare la 2 step verification e usare password forti“. Come se non lo sapessimo già.
Non so voi, ma data la portata della cosa io mi sarei aspettata una dichiarazione direttamente dai boss e qualche testa su un piatto.
Anzi, a dirla tutta, se la mia mail fosse stata lì dentro avrei voluto che mi chiamassero a casa e mi mandassero un mazzo di rose per scusarsi. Invece niente.
Google, io ti ho dato tutto e tu mi tratti così?

Fin qui i fatti, e poi?

E poi il caos.
Vista la mancanza di dati certi (a parte il file) è scattata l’isteria. Ma non quella degli utenti, quella dei siti di technews che nella fretta di dare la notizia hanno cominciato a riportarla tradotta senza un minimo di indagine né criterio (e tradotta ad mentula canis, aggiungo).

C’è chi scrive che Google si sia già attivato per “fixare il leak” (una frase che già di per sé non ha senso in nessun universo) e chi si dice certo che Google sia stato bucato e questo è solo l’inizio dell’apocalisse.

Come sempre, quando i fatti scarseggiano, sono gli utenti che si mettono all’opera.
Qualcuno si mette di buzzo buono e analizza il file. Emerge subito che non sono solo account di Gmail, ma c’è di tutto, tra cui anche Yahoo.
Altra cosa che salta all’occhio è che alcuni siano nel formato nomeaccount + nomesito@gmail.com.
Gmail ignora cioè che segue il “+” e perciò questo formato viene usato quando si usa la mail per registrarsi in giro per capire chi si è venduto la nostra mail quando si riceve dello spam o peggio.
Inizia quindi a risultare chiaro che siano account usati per la registrazione a siti che non hanno nulla a che fare con Google e a farsi strada il sospetto che anche il provvidenziale sito di verifica non sia altro che un modo di raccogliere altre mail e avere la conferma dell’esistenza di quelle già in lista.
L’allarme sembra quindi rientrare lentamente ma niente, la macchina acchiappaclick è già in moto e non si può fermare.
Anzi, continuano a promuovere la pagina di verifica.

Cosa c’è di vero?

Finalmente Google parla e lo fa attraverso uno dei suoi blog (e no, niente rose).
Con poche righe conferma e sottolinea che nessuno dei server di Google è stato bucato.
Tanto per gradire aggiungono anche che monitorano costantemente questi elenchi di account che spuntano dalle fottute pareti del web e che in questo caso gli account a rischio erano il 2% dei pubblicati. Per essere precisi “might have worked“, cioè “avrebbero potuto funzionare” ma i loro sistemi automatici anti-hack avrebbero bloccato molti dei tentativi di login fraudolento, se ce ne fossero stati.
Il post completo è qui: Cleaning up after password dumps.

In sostanza confermano quelli che erano i sospetti degli utenti che si erano presi 5 minuti per controllare i dati prima di dare di matto: questi account non sono stati rubati da Google ma probabilmente arrivano da diverse “fonti”.
In particolare:

  • Siti esterni bucati: vi registrate ad un sito usando la vostra mail e questo viene bucato. Se non usate la stessa password per servizi diversi non dovreste avere problemi. Ve lo dico sottovoce ma si parlava di siti di “intrattenimento per adulti”.
  • Account finti o in disuso, abbandonati al loro destino.
  • Semplice phishing.

Tutto è bene quel che finisce bene?

Sembrerebbe di sì, anche se ancora ieri mattina qualcuno continuava a pubblicare la notiza invitando sempre a verificare la mail sul sito russo.
Io, invece che invitarvi ad infilare la vostra mail su un sito sconosciuto, vi invito semplicemente a non usare la stessa combinazione utente – password per tutti i siti, perché nel caso vi andasse male una volta sareste in braghe di tela.

Tag:, ,

Questo articolo è stato scritto da Silvia:

Silvia

Laureata in informatica, lavora come sviluppatore C++/CLI e PHP su piattaforma LAMP. Recentemente si è affacciata alla programmazione Android. In ByteLite si occupa della creazione dei loghi, della manutenzione del css e dei contenuti del sito.



Cosa ne pensi?

La moderazione è attiva solo per evitare lo spam. Ogni commento è benvenuto e non sarà censurato. :)

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *