di Alessandra Schofield
Lo facciamo in tanti, per pigrizia, mancanza di tempo o di fantasia o per facilità di memorizzazione. Ma è molto, molto pericoloso.
Usare la stessa combinazione Nome Utente o ID/password su siti differenti o per accedere a diversi servizi espone a seri rischi di furto d’identità.
Ne sanno qualcosa Paypal ed i suoi utenti: tra il 6 e l’8 dicembre la notissima piattaforma è stata esposta ad un attacco di credential stuffing, che ha compromesso circa 35.000 account.
Fortunatamente la rilevazione del cyber attack è stata istantanea e Paypal ha immediatamente messo in atto le adeguate contromisure, evitando conseguenze agli user: nessuna transazione sembra essere stata effettuata tramite gli account violati. Tuttavia un’indagine interna ha evidenziato che l’attacco è stato effettuato usando credenziali valide.
Chi ha acceduto, ha quindi potuto visionare non solo i nomi completi, le date di nascita, gli indirizzi postali ed i numeri di previdenza sociale e di identificazione fiscale dei titolari, ma anche la cronologia delle transazioni, i dettagli delle carte di pagamento e i dati di fatturazione.
Molti cyber attack sono basati sui bot e sull’intelligenza artificiale. Il credential stuffing è infatti un attacco automatizzato al quale risultano più esposti, appunto, gli utenti che utilizzano dappertutto le medesime credenziali.
Ecco perché Paypal ha proceduto a reimpostare le password degli account PayPal interessati e implementato controlli di sicurezza avanzati, contestualmente esortando gli utenti a modificare le password di altri servizi online.
L’ideale è insomma utilizzare una password univoca per ciascun sito, che comprenda caratteri alfanumerici, maiuscole, minuscole e simboli e preferibilmente lunga.
Utile – anzi, consigliatissima – l’attivazione della verifica a due fattori, che prevede l’esplicita approvazione per l’accesso all’account da parte dell’utente.
