Livingsocial è un servizio relativamente poco noto in Italia ma piuttosto diffuso in molti altri Paesi oltre agli Stati Uniti, dove propone i soliti affari del giorno. La notizia è che oltre 50 milioni di account sono stati compromessi. Si tratta di un numero di un ordine di grandezza superiore a quello degli utenti di LinkedIn recentemente vittime di un problema analogo.
La dimensione è quindi impressionante. La consapevolezza dell’accaduto è emersa quando l’azienda ha contattato gli utenti chiedendo di cambiare password. Questa l’ammissione ufficiale dei danni:
Le informazioni violate comprendono nomi, indirizzi di posta, date di nascita di alcuni utilizzatori e password cifrate, tecnicamente ‘hashed’ e ‘salted’. Non archiviamo mai password in chiaro.
La notifica dell’accaduto è stata presentata anche all’ufficio del procuratore della California e pare che l’incidente sia stato scoperto una settimana dopo il suo inizio. La raccomandazione di cambiare la password è ragionevole (meno l’aver inserito un link direttamente nella mail di avviso, gesto che potrebbe essere classificato come indizio di phishing); sarebbe stato opportuno raccomandare sia di cambiare la password anche sugli altri siti su cui la si utilizza, sia di utilizzare una password diversa per ogni servizio.
Per vivere serenamente anche quando accadono questi spiacevoli episodi è buona cosa seguire alcuni semplici consigli:
- Non utilizzare la stessa password su diversi servizi.
- Cambiare periodicamente le password e non riciclarle.
- Utilizzare account di posta elettronica diversi per ogni servizio.
Ci sono ottimi motivi per prediligere servizi che permettono la verifica delle credenziali utilizzando sistemi multifattoriali o, più banalmente, per iniziare ad usare un gestore di password.