Almeno 2 milioni di password per siti popolari come Google, Facebook e Yahoo sono state rubate usando una botnet chiamata "Pony", secondo un rapporto del blog SpiderLabs di Trustwave. I dati allarmanti sono stati scoperti questa settimana su un server con sede nei Paesi Bassi.
Oltre alle informazioni di accesso per i servizi online, dati che spesso si trovano nei database compromessi, i ricercatori sono stati sorpresi di scoprire le informazioni sull'account da ADP, una delle principali società di servizi di gestione stipendi. Secondo quanto riferito, sono state esposte quasi 8.000 password ADP, un problema che potrebbe portare a "ripercussioni finanziarie dirette".
A differenza dei recenti hack di Adobe e vBulletin, le informazioni acquisite nella violazione non sono state prese direttamente dai server delle aziende. Piuttosto, i computer dei singoli utenti sono stati infettati da malware che registrava le password degli utenti e le inviava ai server degli hacker. Ciò ha portato all'esposizione di password non solo per i servizi online, ma anche per una moltitudine di server FTP personali e aziendali, connessioni desktop remote e account shell sicuri.
La buona notizia è che questi tipi di attacchi individuali non sono così diffusi quanto i principali attacchi ai fornitori di servizi stessi. La cattiva notizia, tuttavia, è che è difficile identificare e informare gli utenti interessati. I malware di questa natura spesso non vengono rilevati e non mostrano sintomi in condizioni normali. Pertanto, anche se gli utenti escono e cambiano le loro password, il malware registrerà semplicemente la nuova password e la passerà al suo server di controllo.
La miglior difesa contro questo tipo di vulnerabilità della sicurezza è abilitare l'autenticazione a due fattori, che ora è offerta da molti dei principali servizi online. Il processo richiede due passaggi di autenticazione (in genere una password associata a un indirizzo e-mail o numero di telefono) per accedere da un nuovo computer o dispositivo. Finché gli hacker non hanno accesso fisico al tuo cellulare e non hanno anche violato la tua e-mail, non saranno in grado di accedere utilizzando solo una password.
Gli utenti sono inoltre invitati a cercare malware regolarmente, anche se gli utenti dovrebbero essere cauti nella scelta del software anti-malware, dal momento che molte opzioni pubblicizzate online sono effettivamente malware nascosto.
