Avui pensava parlar de la segona part dels Petits Grans Problemes, però l’actualitat mana i s’ha sabut que uns ‘hackers’ van entrar a l’octubre als servidors d’AdultFriendFinder i es van emportar més de 400 milions de codis d’usuari i contrasenyes, superant el rècord que fins ara tenien els de MySpace, que era de 360 milions. Segons Leaked Source, signatura que s’encarrega de notificar incidents de pirateria, es tracta de l’atac més gran que s’ha registrat mai pel que fa a la quantitat de dades robades.

Com haureu observat, el problema es va repetint cada cert temps i és una demostració que, més tard o més d’hora, les vostres dades acabaran en mans no desitjades.

El que més greu d’aquest cas, a banda de la quantitat de codis, més de 400 milions, és que els codis d’usuari no estaven encriptats i les contrasenyes estaven molt mal protegides amb el sistema Sha1, així que més del 99% ja han estat desencriptades per poder fer la següent estadística:Captura de pantalla 2016-11-18 a les 20.38.09I no us penseu, el setè ‘classificat’, la paraula ‘password’ segons els resultats de leakedsource.

Si estàveu registrats a algun dels serveis d’AdultFriendFinder i sou dels que feu servir la mateixa contrasenya a tots els llocs on us registreu, canvieu les vostres contrasenyes immediatament. Per això, no tindreu més remei que utilitzar un bon sistema de recordatori i magatzem de contrasenyes, com 1password, Lastpass o KeePass.

Una contrasenya ha de ser complicada i que segueixi les normes mínimes de creació:

  •      Mínim de 8 caràcters
  •      Fer servir majúscules i minúscules
  •      Fer servir números i signes especials (%*?)

En resum, que el sistema tradicional d’anotar la contrasenya en un paperet i enganxar-lo a la pantalla de l’ordinador no és gens fiable ni segur. Per altra banda, el nostre cervell millor tenir-lo ocupat en altres coses més productives que en recordar la gran quantitat de contrasenyes que necessitem.

Què va passar?
Els d’AdultFirendsFinder ja havien estat hackejats el maig del 2015 per en ROR[RG], que intentava fer xantatge i els hi demanava 100.000 $. Aparentment, havien millorat els seus sistemes de protecció, però els hackers han aconseguit les dades de totes les seves webs, entre d’altres, la de Penthouse.com o cams.com, gràvies al que es coneix com a LFI (Local File Inclusion) o, el que és el mateix, enviar una imatge al servidor amb codi que pot ser executat. Si voleu els detalls, a CSO tenen molta informació tècnica.

És molt preocupant que s’han trobat molts usuaris amb el mail en format email@address.com i @deleted1.com, i això porta a pensar que no esborraven els usuaris que es donaven de baixa, sinó que anaven guardant la informació de gairebé setze milions de comptes esborrats.

Dades curioses
L’anglès és l’idioma més usat, amb 249 milions d’usuaris i el castellà el segon, amb més de 63 milions, molt per sobre del xinès.

Hotmail, amb més de 96 milions és el correu més utilitzat, seguit de Yahoo (74 milions) i Gmail (gairebé 62 milions). Recordeu que AdultFriendFinder és anterior al 2004, any de creació de Gmail, per això tenien tants usuaris de Hotmail i Yahoo.

Els de Leaked Source, autors de l’informe, ofereixen un servei gratuït d’avís quan el vostre correu surt en algun ‘breach’ de seguretat.

I, per acabar, alguns consells que he repetit moltes vegades:

Mode incògnit
A hores d’ara tots els navegadors tenen el sistema de navegació en mode incògnit. A Chrome és tan senzill com obrir una nova pantalla en mode incògnit, que és una opció al menú d’obrir, i us mostrarà això:

unnamed-1

Això, com veieu, és un petit detall, el que fa és no guardar les vostres dades de navegació en el vostre navegador i si algú us les remena, no sabrà quins llocs heu visitat perquè no hi haurà rastre a la caché. Això és aplicable a totes les versions del Chrome, per ordinador, per telèfon o per tauleta.

També aconseguireu que els llocs web que visiteu no us deixin galetes en el vostre equip. Això sí, si marqueu un favorit, quedareu retratats!

Feu servir sistemes de pagament ‘opacs’ i no ‘il·limitats’
La major part d’aquests serveis us demanaran, un moment o altre, que pagueu alguna cosa, bé sigui per accedir als serveis exclusius, bé per poder interactuar o veure vídeos, etc… Els sistemes que tenen perquè pagueu són infinits, així que heu de buscar algun sistema que, si les dades surten a la llum, no en puguin fer ús ni us puguin identificar.

El sistema de PayPal és el d’una entitat bancària. Per obrir el compte a PayPal només necessiteu una adreça de correu, la que heu creat fa un moment, però la manera de fer els pagaments és una mica diferent i podeu escollir-lo. Tenen tres sistemes:

• Pagar només quan tens saldo al compte de PayPal, o sigui que si vols fer un pagament, fas la transferència del teu compte corrent a PayPal abans de fer el pagament.
• Pagar fent el càrrec a una targeta de crèdit ‘normal’ d’una entitat bancària vostra. Quan pagues via PayPal ells et fan un càrrec a la teva targeta però el proveïdor que rep el pagament només sap el vostre codi d’email dins de PayPal.
• Pagar fent el càrrec a un compte corrent d’una entitat bancària vostra
• Tot i això, l’únic que guarda el proveïdor al qui feu el pagament és l’adreça de mail del vostre compte de PayPal.

Fixeu-vos que tenim un doble objectiu, per un costat evitar fer pública la nostra identitat, però encara més important, que si les dades de pagament cauen en mans poc indicades o es fan públiques, no puguin fer res amb la informació que tinguin de nosaltres.

Per a VilaWeb el vostre suport ho és tot

Sostenir un esforç editorial del nivell i el compromís de VilaWeb, únicament amb la publicitat, és molt difícil. Per això necessitem encara molts subscriptors nous per a allunyar qualsevol ombra de dificultats per al diari. Per a vosaltres aquest és un esforç petit, però creieu-nos quan us diem que per a nosaltres el vostre suport ho és tot.

Podeu fer-vos subscriptors de VilaWeb en aquesta pàgina.

Vicent Partal
Director de VilaWeb