Il caso
Zuckerberg hackerato su Twitter e l’importanza dell’autenticazione a due fattori
Il re dei social network utilizzava “dadada” come password per accedere a LinkedIn, rete hackerata nel 2012
Pubblicato il 08 Giu 2016
Quando si parla di sicurezza digitale il mondo è diviso in due: da un lato le agenzie e i ricercatori specializzati, dall’altro gli esseri umani. Si, perché quando si tratta di mettere un lucchetto alla propria vita online siamo un po’ tutti uguali, Mark Zuckerberg compreso. Pensate che il giovanotto, che pure muove con un solo dito miliardi di dollari, utilizzava la chiave segreta “dadada” per accedere al suo LinkedIn. Per sua sfortuna, nel 2012 il social professionale era caduto vittima di un attacco hacker che aveva messo in pericolo oltre 6,5 milioni di iscritti. Tra questi c’era proprio Mr. Zuck che, a quanto pare, a distanza di quattro anni non aveva mai cambiato la password. Una mancanza di attenzione che è costata cara all’imprenditore americano, che ha messo in atto due delle “worst practices” da evitare, quando si tratta di account personali.
Cosa è successo
Prima di tutto su LinkedIn Zuckerberg usava una password troppo semplice e immatura. Nessun carattere speciale, nessun numero, e una lunghezza considerata breve anche dai bambini oramai. Tale mancanza ha consentito agli hacker di OurMine Team di violare il suo profilo e di tentare l’accesso anche ad altre registrazioni. Qui la seconda mancanza: l’uso della stessa chiave segreta anche per Twitter e Pinterest. E’ bastato poco dunque per digitare la stringa e hackerare anche le altre due piattaforme, dove gli smanettoni hanno pubblicato messaggi spiegando che tutto era stato possibile grazie al database di LinkedIn, nel frattempo messo in vendita sul dark web e cresciuto ad oltre 100 milioni di iscritti.
La verifica in due fattori
Al di là del “dadada”, Zuckerberg avrebbe potuto effettuare un solo click per mettere al sicuro i propri account: la procedura di verifica in due fattori. Sia Twitter che LinkedIn la offrono, bastava semplicemente inserire un numero di cellulare nelle impostazioni per ricevere un codice temporaneo da immettere all’atto dell’accesso. Peraltro, come dimostrano le attività dei profili, non è che Mark fosse così attivo sulle reti avversarie del suo Facebook; un motivo in più per assicurare al meglio la propria identità. La lezione lui l’avrà imparata, e noi?
