La scorsa settimana qualcuno ha cominciato a vendere in rete un’enorme quantità di dati d’accesso rubati da LinkedIn; circa 117 milioni di profili, ad essere precisi. Si è venuto poi a scoprire che gli account in questione appartenevano a persone alle quali era stato consigliato azzerare la propria password dopo la breccia informatica del 2012, ma a quanto pare nessuno di loro lo aveva fatto.
LinkedIn fa notare come il proprio portale abbia già invalidato tutte le chiavi d’accesso rubate, così che chiunque acquisti quella lista non sarà in alcun modo capace di accedere agli account compromessi. Non potranno quindi effettuare il log-in su LinkedIn, ma qualsiasi azienda sul pianeta che si occupa di informatica sa benissimo che spesso le persone utilizzano gli stessi dati d’accesso per molteplici servizi. Se quindi la password di una vittima non funziona su LinkedIn, non è detto che non possa essere valida da qualche altra parte.
Ecco perché Microsoft ha messo a punto un complesso sistema di ban dinamico per alcune password. Originariamente era stato creato per assicurarsi che le persone non utilizzassero chiavi d’accesso eccessivamente semplici, ma recentemente il sistema è stato ampliato per includere anche i dati recentemente rubati da LinkedIn. Siamo infatti certi che quelle password entreranno presto a far parte del dizionario di praticamente qualsiasi sistema di hacking “brute force”, e molte altre aziende dovrebbero seguire l’esempio di Microsoft.