Successivo

Security

Heartbleed bug: quando bisogna cambiare la password. Anche in banca.

Redazione | 11 Aprile 2014

Sicurezza

Il problema di sicurezza che ha lasciato per mesi esposti i dati sensibili degli utenti è stato individuato ed è […]

heartbleedIl problema di sicurezza che ha lasciato per mesi esposti i dati sensibili degli utenti è stato individuato ed è in corso l’aggiornamento dei servizi di rete a rischio.
Purtroppo non c’è modo di sapere se si è stati tra le vittime del furto di dati e il buon senso insegna che è meglio cautelarsi. L’operazione che suggeriamo è quella di cambiare la propria password d’accesso per i servizi più critici, gli account di posta elettronica, i servizi di cloud, l’home banking. In pratica quelli in cui un ipotetico furto di identità  potrebbe mettere a rischio informazioni critiche (e proprietà ).

Attenzione: è importante cambiare la password dopo che il fornitore del servizio ha chiuso la vulnerabilità  ad Heartbleed, altrimenti si potrebbe essere nuovamente a rischio. Come fare per sapere quando è il momento giusto? Purtroppo consultando direttamente il singolo sito o il servizio per verificare l’avvenuta correzione.

I più importanti nomi della rete (con qualche omissione) hanno già  segnalato le eventuali contromisure prese. Elenchiamo i principali, ricordando che le operazioni di aggiornamento sono ancora in corso e che altri nomi potrebbero aggiungersi alla lista o modificare la propria situazione.

Servizi internazionali

> Amazon: non cambiare password, non era vulnerabile
> Amazon Web Services: cambiare password, vulnerabilità  riconosciuta e corretta
> Apple: non cambiare password, non era vulnerabile
> Dropbox: cambiare password, vulnerabilità  riconosciuta e corretta. Commento
> Ebay: non cambiare password, non era vulnerabile
> Facebook: cambiare password, la società  non ha riconosciuto la vulnerabilità 
> Google: cambiare password, vulnerabilità  riconosciuta e corretta. Commento
> IFTTT: cambiare password, vulnerabilità  riconosciuta e corretta
> Instagram: cambiare password, vulnerabilità  riconosciuta e corretta
> LinkedIn: non cambiare password, non era vulnerabile
> Microsoft: non cambiare password, non era vulnerabile
> Tumblr: cambiare password, vulnerabilità  riconosciuta e corretta
> Twitter: non cambiare password, non era vulnerable. Commento
> Wunderlist: non cambiare password, non era vulnerabile
> Yahoo: cambiare password, vulnerabilità  riconosciuta e corretta

Banche italiane

Abbiamo svolto un semplicissimo test utilizzando un servizio OpenSource per verificare il bug SLL sui servizi online delle seguenti banche italiane:

> bancaintesa.it
> bancamediolanum.it
> chebanca.it
> fineco.it
> gruppocarige.it
> ingdirect.it
> intesasanpaolo.it
> iwbank.it
> mps.it
> poste.it
> sella.it
> unicredit.it
> unicreditbanca.it
> webank.it

Tutte hanno superato il test, ovvero utilizzano la versione corretta della libreria ‘a rischio’, o si appoggiano a sistemi crittografici non vulnerabili. L’elenco degli istituti di credito italiani è ovviamente parziale e incompleto, il nostro era solo un rapido test. L’operazione di cambio delle password per i servizi più importanti, per quanto noiosa, è comunque una pratica da svolgere con regolarità  e che suggeriamo caldamente.