E’ importante per via di ciò che ha prodotto. E’ importante perché l’analisi di ciò che ha prodotto è tristemente preoccupante. Rispecchia esattamente tutti i canoni delle analisi che di anno in anno girano tra le società di sicurezza informatica sull’utilizzo delle password a livello globale, qui ci confrontiamo invece con un pubblico prettamente italiano, e ho tastato con mano che la sostanza non cambia.
Parliamo dunque oggi di Radio Dimensione Suono (rds.it), del suo attacco informatico subito e di cosa si scopre analizzando il data breach.
Come fattomi notare da Claudio Sono, stiamo parlando di una vicenda non eccessivamente lontana, primi di marzo 2021, che ha interessato a grandi linee alcune news della stampa soprattutto per via della comunicazione via email inviata dallo staff di RDS alla community di utenti, per poi cadere nel silenzio.
Ho avuto modo di intercettare personalmente, pochi giorni fa, il contenuto di ciò che è stato esfiltrato dai database durante l’attacco. In sostanza, almeno per i dati che sono stati pubblicati (post manipolazione degli aggressori), si tratta del contenuto completo di quella che sembra essere la tabella utenti di un database community che prevede una registrazione.
Ora, visto che sono passati mesi, chi ha deciso di diffondere questi dati (io li ho intercettati su Telegram), come dicevo li ha manipolati per renderli più fruibili: in sostanza sono stati depurati delle colonne meno interessanti, lasciando e-mail e password. Soffermandomi su quest’ultima colonna, la password, noto che è stata decifrata e ora viene offerto l’elenco con tutte le password dehashed, come si usa dire in questi casi (non è più un hash incomprensibile, ma è proprio la password originariamente scelta dall’utente). Ah dimenticavo di rendervi noto di che quantità di dati stiamo parlando: l’elenco comprende 115.942 coppie e-mail/password.
Da qui mi viene subito in mente di fare analisi su questa grande quantità di dati prettamente di utenti italiani (la community RDS è rivolta per la maggior parte a una platea italiana). E cosa ho scoperto? Beh sicuramente niente di nuovo rispetto ai report di sicurezza informatica dei grossi colossi del settore, che escono annualmente sull’utilizzo delle password a livello globale, però toccare e sperimentare con mano, anche nella nostra piccola Italia, un campione significativo di utenti, ha il suo significato.
Ho voluto ricercare quindi in questo grande elenco, come gli utenti scelgono la propria password, e hanno scelto in questi anni visto che il database copre registrazioni anche indietro nel tempo fino ai giorni nostri (marzo 2021).
Sul campione totale di utenti registrati su RDS 1661 persone hanno scelto una password del tipo 1234 & C (nel senso 1234, 12345, 123456) e siamo già all’1,4% del totale.
Altre 17.000 circa hanno scelto una data di nascita (senza punti o altri caratteri in mezzo: quindi del tipo GGMMAAAA) e qui siamo al 14,65% della popolazione RDS.
Circa 4700 persone (il 4%) scelgono nomi propri molto comuni di persona (e anche la stessa parola password) secondo la tabella qui sotto.
giorgio/a | 1400 |
claudio/a | 1100 |
andrea | 1600 |
password | 228 |
mamma | 366 |
Ne ho trovato solo 10 (evito di calcolare la percentuale) che possono sembrare causali, ma non strong, perché non presentano criteri importanti come presenza di maiuscole e minuscole, segni di interpunzione o caratteri speciali, in contemporanea.
Questa analisi, rappresenta un risultato che doveva essere già noto dall’inizio dell’articolo in quanto non poteva che essere così, spiego meglio: visto che le password erano crittografate, se sono state decrittografate significa che sono state riconosciute in un elenco di parole/password già note (dizionario), confrontate e dunque attribuite al giusto hash. Questo meccanismo non avrebbe funzionato se ci fossero state grandi quantità di password strong nella lista dei dati rubati. Ma evidentemente l’italiano non è ancora pronto all’utilizzo di password forti e resistenti, ma soprattutto uniche.