Fol News

Tutti gli approfondimenti
Tutte le notizie

La Pec Telecompost è stata violata

  • Trading Day 19 aprile Torino - Corso Gratuito sull'investimento

    Migliora la tua strategia di trading con le preziose intuizioni dei nostri esperti su oro, materie prime, analisi tecnica, criptovalute e molto altro ancora. Iscriviti subito per partecipare gratuitamente allo Swissquote Trading Day.

    Per continuare a leggere visita questo LINK
Lupak

Lupak

Nuovo Utente
Registrato
25/11/06
Messaggi
19.586
Punti reazioni
2.480
Un mesetto fa apro Thunderbird e noto due nuove mail nella mia casella PEC telecompost (del gruppo Telecom Italia)
La cosa è strana perché sono due mail semplici e non due PEC e vedo che il mittente è mailer-daemon del dominio club.com (che per curiosità apro per notare che è un sito vuoto...chi lascerebbe vuoto un dominio così?)
Apro queste mail e sono tutta una serie di simboli tra cui leggo che l’account sarebbe stato violato. Faccio ricerche in giro e leggo che quando si ricevono mail del genere è segno che in effetti l’account è stato violato, anche se faccendo ulteriori verifiche non noto nulla di particolarmente strano, nessuna mia pec sembra essere stata spostata e non noto pec o mail inviate a terzi.
Per sicurezza comunque cambio la password.
Oggi ricevo una pec da Telecompost che avvisa che le credenziali sono state compromesse.
https://www.telecompost.it/manuali/InformativaGDPRUtenza.pdf
La domanda è: come faccio ad essere sicuro che nessuno mi sia entrato nella pec (come sostengono loro) e che i dati siano al sicuro?
 
se il fornitore di PEC è serio (e non ho motivo di dubitarne), tipicamente la compromissione ha riguardato il database degli hash delle password (non le password stesse). immagino che usino un algoritmo di hash robusto (informati su quale sia) e , se la password che è stata usata non è banale e corta, è virtualmente impossibile risalire alla password corretta

direi che , dato che hai ricevuto un comunicato ufficiale (santissimo sia il GDPR imposto dalla UE, che obbliga , pena multe in percentuale del fatturato, la comunicazione delle violazioni informatiche, sempre sia lodato), dovresti analizzarlo attentamente, controllarne i rimandi a spiegazioni più estese sul sito del fornitore e quindi evincere la natura della compromissione con più precisione...ricordo , in occasione della compromissione degli hash di yahoo.com, una informativa molto precisa e puntuale

un'altra cosa: se è previsto , abilita il 2FA. in questo modo ti puoi letteralmente infischiare di questa compromissione
 
L'informativa parla di compromissione delle credenziali e si sottolinea l'esigenza di cambiare password.
Questo fa pensare che le credenziali, in particolare le password, fossero conservate in un data-base cui qualcuno è riuscito ad accedere.
Se, come dice @groviglio, l'algoritmo di hash usato per 'offuscare' le password è appena decente è pressocchè impossibile decrittarle in chiaro malgrado l'accesso abusivo.

Avendo cambiato password non ci dovrebbe essere più possibilità che qualcuno acceda alla tua PEC (immagino abbiano 'blindato' meglio il sistema) e, in ogni caso, se prima del cambio password qualcuno ha inviato PEC a tuo nome te ne saresti probabilmente accorto dalle ricevute di consegna.

Concordo con @groviglio che, potendo, una 2FA è ulteriore protezione da questo tipo di accessi.
 
groviglio ha scritto:
se il fornitore di PEC è serio (e non ho motivo di dubitarne), tipicamente la compromissione ha riguardato il database degli hash delle password (non le password stesse). immagino che usino un algoritmo di hash robusto (informati su quale sia) e , se la password che è stata usata non è banale e corta, è virtualmente impossibile risalire alla password corretta
Clicca per espandere...
Purtroppo non ho molta sicurezza sulla serietà del fornitore, se si sono svegliati oggi a fare una comunicazione del genere (che stamani era molto più generica, mentre questo comunicato si trova nella home page destinato a tutti i clienti PEC TI Trust Technologies - Login probabilmente solo perchè obbligatorio per legge) per una cosa che sospettavo io che non ne capisco nulla già settimane fa...non hanno messo a disposizione una mail da contattare etc etc.
Per quanto riguarda l'accesso al mio account, mi viene da pensare sia stato violato, non riesco a spiegarmi in altro modo come mai mi sono trovato nella mia casella "In arrivo" quelle mail inviate da Mailer-Daemon Club.com
Non ne sono sicuro perchè il gestore non fornisce log di accesso e non mi sono trovato altre mail in nessuna altra casella, ma come può altrimenti spiegarsi questa cosa?
La mia password sarà stata pure alfanumerica, ma ahimè di soli otto caratteri, quindi se quelli di Telecom sono stati a dormire per lungo tempo...avranno dato loro tempo di decodificare l'hash che leggo era US Secure Hash Algorithm 1 (SHA1)
Il problema è che c'erano documenti allegati belli in chiaro di mio padre che la stessa Telecom di m.... mi ha forzato ad inviare loro per disdire il loro abbonamento e temo possano farci qualcosa. Vorrei sapere solo come avere più informazioni o almeno come trovare più indizi sull'accesso alla mia casella.
 
Lupak ha scritto:
[...]
La mia password sarà stata pure alfanumerica, ma ahimè di soli otto caratteri, quindi se quelli di Telecom sono stati a dormire per lungo tempo...avranno dato loro tempo di decodificare l'hash che leggo era US Secure Hash Algorithm 1 (SHA1) [...]
Clicca per espandere...

Ho dato un'occhiata, anche se non molto approfondita, e mi sembra che l'algoritmo SHA1 sia usato nella trasmissione delle PEC :yes:
Dubito molto che sia usato per offuscare le password nel data-base in cui, visto che non si tratta di incompetenti, ci vuole almeno un hash+salt tipo bcrypt.

Le informazioni che invece non mi sembrano esplicitate da nessuna parte (o almeno non le ho trovate) sono quelle relative alle impostazioni di sicurezza applicate (algortimi di hash, salt e quant'altro) come invece avviene, usualmente, per provider e-mail, sw tipo password manager, etc.....di respiro internazionale che, probabilmente, hanno clienti che basano le loro scelte anche su questi dati tecnici.

Tutti i caratteri possibili delle password vanno usati ma la protezione da accessi di questi tipo la deve fare il provider, la lunghezza della password c'entra poco :yes:
 
Purtroppo hai attivato un link che non dovevi clikkare...!!!

Anche sulla mia PEC il 90% sono mail farlocche... cestino sempre ciò che non è PEC...!!! ;)
 
CharlesIngalls ha scritto:
Purtroppo hai attivato un link che non dovevi clikkare...!!![...]
Clicca per espandere...

Direi che è più probabile che l'indirizzo PEC sia stato trafugato durante l'accesso abusivo. :yes:

Le password dovrebbero essere 'offuscate' tramite algoritmi di hash mentre l'indirizzo potrebbe non esserlo (quasi certamente non lo è).
 
...l'importante è che la password reale non fosse di otto caratteri di questo tipo:

12345678
password

e simili

perchè in questo caso, anche con l'agoritmo di hash migliore dell'universo, l'hacker confronterà, a dizionario (in un dizionario sono sempre presenti questo tipo comunissimo di password utilizzate dagli utenti per fare prima:wall:), questo tipo di password con l'hash rubato e scoprirà, banalmente, che quegli hash corrispondono esattamente a quelle password


con una password di otto caratteri del tipo:

rp73vsj9 e un algoritmo di hash bcrypt, l'hacker sia attacca al tram:)

in generale, benedetti ragazzi, allunghiamo un po' le password e rendiamole un po' più complicate (anche con frasette e filastrocche che vanno benissimo e si ricordano bene). questo in tutti i frangenti (anche per router, wifi et cetera)...che fa solo bene:yes:
 
FogOnLine ha scritto:
Ho dato un'occhiata, anche se non molto approfondita, e mi sembra che l'algoritmo SHA1 sia usato nella trasmissione delle PEC :yes:
Dubito molto che sia usato per offuscare le password nel data-base in cui, visto che non si tratta di incompetenti, ci vuole almeno un hash+salt tipo bcrypt.
Clicca per espandere...
Mi sa che hai ragione, ma non sono riuscito a trovare più informazioni su come vengano conservati i dati di accesso sui loro server.
Tutti i caratteri possibili delle password vanno usati ma la protezione da accessi di questi tipo la deve fare il provider, la lunghezza della password c'entra poco :yes:
Clicca per espandere...
Come dicevo, mi sa che il provider ha dormito alla grande.
Io ho notato le mail "strane" per caso qualche settimana fa e per sicurezza ho cambiato subito la password. Oltre alle due mail "strane" non ho notato nessun segno che mi facesse pensare ad un accesso da parte di terzi a meno che non si siano messi a cancellare meticolosamente la posta inviata, il cestino e tutto il resto lasciando intatte le mie mail.
Secondo te come posso sapere se hanno avuto accesso alla casella PEC e a quali?
CharlesIngalls ha scritto:
Purtroppo hai attivato un link che non dovevi clikkare...!!!

Anche sulla mia PEC il 90% sono mail farlocche... cestino sempre ciò che non è PEC...!!! ;)
Clicca per espandere...
Mi sa che non hai letto...sono entrati dei simpaticoni nel server Telecompost ed hanno preso i dati di tutti i clienti, tra cui i miei.
Sullo spam in PEC personalmente non ne ho mai avuto, ma se hai un'impresa l'indirizzo PEC è pubblico (Camera di Commercio) e molti lo mettono pure in fattura o online tranquillamente, quindi trovarsi dello spam non è una cosa fuori dal mondo.
 
groviglio ha scritto:
rp73vsj9 e un algoritmo di hash bcrypt, l'hacker sia attacca al tram:)

in generale, benedetti ragazzi, allunghiamo un po' le password e rendiamole un po' più complicate (anche con frasette e filastrocche che vanno benissimo e si ricordano bene). questo in tutti i frangenti (anche per router, wifi et cetera)...che fa solo bene:yes:
Clicca per espandere...
La password conteneva una lettera maiuscola, due numeri, un simbolo (del tipo @ , ? !) e quattro lettere minuscole. Se fosse facile o meno non saprei dire...
In genere uso password molto più lunghe, ma questa l'avevo lasciata così da tempo ed era una casella in via di dismissione.
 
Lupak ha scritto:
La password conteneva una lettera maiuscola, due numeri, un simbolo (del tipo @ , ? !) e quattro lettere minuscole. Se fosse facile o meno non saprei dire...
In genere uso password molto più lunghe, ma questa l'avevo lasciata così da tempo ed era una casella in via di dismissione.
Clicca per espandere...

se hanno usato un buon algoritmo di hash, la tua password non è scopribile ...io starei comunque tranquillo e continuerei a informarmi: direi che hai pieno diritto di mandare loro una mail e chiedere ulteriori spiegazioni , compreso che algoritmo di hash usano


ps non è detto che le "stranezze" da te rilevate abbiano qualche attinenza con la compromissione avvenuta presso il provider :)
 
Lupak ha scritto:
[...]
Io ho notato le mail "strane" per caso qualche settimana fa e per sicurezza ho cambiato subito la password. Oltre alle due mail "strane" non ho notato nessun segno che mi facesse pensare ad un accesso da parte di terzi a meno che non si siano messi a cancellare meticolosamente la posta inviata, il cestino e tutto il resto lasciando intatte le mie mail.
Secondo te come posso sapere se hanno avuto accesso alla casella PEC e a quali?
[...]
Clicca per espandere...

Oggettivamente non mi preoccuperei più di tanto, data breach ne avvengono tutti i giorni ma, generalmente, i sistemi di sicurezza 'reggono', altrimenti sarebbe il panico globale tutti i giorni :o:D (ben più pericolose ed efficaci il phishing e le tecniche di social engineering).

Comunque, vista la missiva ricevuta, puoi provare a scrivere una mail al supporto richiedendo dettagli su quali dati (nomi, indirizzi, password, codice cliente, numeri telefono, etc..) siano stati potenzialmente esposti (il GDPR li obbliga a fornire al cliente proprio questo tipo di informazioni) e sugli accessi alla tua PEC negli ultimi 30 o 60 gg. corredati da data/ora e indirizzo IP (ma poi non so se sei in grado di valutare se l'accesso è stato il tuo o meno :yes:).


Edit. oops...preceduta da @groviglio :)
 
leggo anche che la società è certificata(oltre al resto) ISO27001(su tutti gli aspetti della sicurezza informatica)...starei tranquillo :)

ps no, no fog, hai fatto bene ad esplicitare l'elencoOK!
 
Il guaio delle pw è come conservarle in sicurezza. :rolleyes:

Una sola difficile per tutto non è consigliata… quindi tante pw difficili non si ricordano a memoria, mettere un file txt in un cloud chi si fida ? il vecchio foglio cartaceo di bloc notes si può perdere oppure qualcuno lo può leggere o rubare, i servizi authenticator non ci sono per tutti i siti…


:'( :angry: :boh:
 
skymap ha scritto:
Il guaio delle pw è come conservarle in sicurezza. :rolleyes:

Una sola difficile per tutto non è consigliata… quindi tante pw difficili non si ricordano a memoria, mettere un file txt in un cloud chi si fida ? il vecchio foglio cartaceo di bloc notes si può perdere oppure qualcuno lo può leggere o rubare, i servizi authenticator non ci sono per tutti i siti…


:'( :angry: :boh:
Clicca per espandere...


Una sola difficile :eek: meglio di nooooo :no:

I sistemi per la gestione però ormai ci sono e non necessariamente su cloud (soluzione che aborro :yes:).
Tutti i principali password manager usano algoritmi di crittografia AES256 (già di per sè piuttosto sicuri) e si può installarli anche su una pen usb come applicazione portable.
Ovviamente è bene che l'utente preveda una certa 'ridondanza' (più supporti, magari conservati in posti diversi) per evitare eventuali problemi dovuti a guasti.

Va detto, però, che il problema legato ai data breach è del tutto indipendente dall'utente.
Se le password sono conservate in chiaro o con un algoritmo di offuscamento poco robusto il problema è nel server che le gestisce e anche l'utente 'attento' poco può farci.

E' recente il data breach del sito SIAE che mostra come un sito mal aggiornato e gestito da 'poco competenti' può provocare grossi guai.
https://www.linkedin.com/pulse/siae-le-cause-del-data-breach-valerio-mulas
 
Ultima modifica:
CharlesIngalls ha scritto:
Purtroppo hai attivato un link che non dovevi clikkare...!!!

Anche sulla mia PEC il 90% sono mail farlocche... cestino sempre ciò che non è PEC...!!! ;)
Clicca per espandere...

le PEC sarebbe bene impostarle come "chiuse", ovvero che ricevono solo da indirizzi pec e non da indirizzi normali.

Lupak ha scritto:
Sullo spam in PEC personalmente non ne ho mai avuto, ma se hai un'impresa l'indirizzo PEC è pubblico (Camera di Commercio) e molti lo mettono pure in fattura o online tranquillamente, quindi trovarsi dello spam non è una cosa fuori dal mondo.
Clicca per espandere...

Questo mi fa pensare che Lupak lo abbia fatto.

poi ci sono dei simpaticoni che spammano anche via pec, ma sono per fortuna ancora pochi.
 
groviglio ha scritto:
ecco l'origine del problema

Attacco hacker, tribunali in tilt. Timori per le mail dei magistrati - Corriere.it
Clicca per espandere...
In questo articolo si dice che sono stati avvisati il 14 novembre, ma ho impressione che questo attacco sia avvenuto almeno un mese prima...non so se mi sbaglio o meno.
Sto pensando di usare un password manager almeno per le password non legate a conti o sistemi di pagamento, così da migliorare la sicurezza generale di tutti i miei account, mi consigliare uno che conservi le password sui miei dispositivi e che sia opensource e di provata affidabilità?
 
Lupak ha scritto:
In questo articolo si dice che sono stati avvisati il 14 novembre, ma ho impressione che questo attacco sia avvenuto almeno un mese prima...non so se mi sbaglio o meno.
Sto pensando di usare un password manager almeno per le password non legate a conti o sistemi di pagamento, così da migliorare la sicurezza generale di tutti i miei account, mi consigliare uno che conservi le password sui miei dispositivi e che sia opensource e di provata affidabilità?
Clicca per espandere...

ho postato l'articolo che rendeva il conto della motivazione del problema da te lamentato...sulla precisione dei tempi sarà questione della poliza postale. comunque la cosa è stata seria e mirata ad altri obiettivi


sui password manager , certamente, ti sapranno consigliare gli altri utenti (in particolare fog): io non li uso, uso altri sistemi che rispondono pienamente alle mie esigenze
 
groviglio ha scritto:
ho postato l'articolo che rendeva il conto della motivazione del problema da te lamentato...sulla precisione dei tempi sarà questione della poliza postale. comunque la cosa è stata seria e mirata ad altri obiettivi
Clicca per espandere...
Sì sì, volevo solo ribadire che secondo il mio modestissimo parere il gestore del servizio PEC o ha dormito o ha rilevato in ritardo gli attacchi.
sui password manager , certamente, ti sapranno consigliare gli altri utenti (in particolare fog): io non li uso, uso altri sistemi che rispondono pienamente alle mie esigenze
Clicca per espandere...
Per curiosità che sistema usi?
 
Devi accedere o registrarti per poter rispondere.
Indietro