Disservizio email Libero e Virgilio 23/01/2023

nexus · 2023-01-23T16:49:29+00:00

poco fa vado per loggarmi sul client web della posta libero (un account secondario che comunque controllo quotidianamente) e sorpresa messaggio ovviamente...

nexus

od1n0 beh però viene scritto "gruppi malevoli che su Telegram ne hanno approfittato per far girare vecchi data leak che già da tempo occupano le pagine di forums underground."

od1n0

nexus quasi sicuramente non e' roba nuova.... pero' e' n'altra mazzata.....

DerAdler

od1n0 ma, più che altro, a me lascia perplesso il metodo/logica che viene riportato nell'articolo per quanto riguarda il "breach detector" di Twitter. Hanno evidenza che un account email è (de facto) compromesso ed è stato utilizzato per registrare un account Twitter con la stessa password. Per "sopperire" a questo hanno disattivato l'account Twitter e, per riattivarlo, mandano un codice di attivazione/verifica all'indirizzo email compromesso? 😅 ..forse sono io che non capisco, ma che senso ha? Se posso accedere a quell'account email compromesso posso riattivare l'account Twitter compromesso anche se non sono il proprietario di quegli account! 😒 mah..

od1n0

DerAdler perche' presumono che le password utilizzate siano state usate piu' volte su piu' servizi web .
Quindi il breach lo hanno fatto su qualcuno di questi servizi web. Non sono teoricamente le password dell'accesso alla mail di libero a meno che l'utente (utonto) non abbia usato la stessa password pure per l'accesso email (cosa possibile).Insomma hanno approfittato del clamore del disservizio di libero per vendere password di vecchi databreach che non sono correlati con l'accesso alla mail di libero . Di libero teoricamente c'e' solo la mail.

greatkingrat

No, non ne faccio assolutamente una questione personale, ci mancherebbe altro.
Ai tempi in cui aprii la casella su Inwind il portale era di proprietà dell'azienda e aveva una bella community che non è rimasta al passo coi tempi.
Che la home page di Libero sia piena di schifezze lo so anche io ma accedo tramite link diretto o tramite client, la cosa mi interessa poco.
Posso dire che anche Microsoft mi inviava le bing news il cui contenuto è piuttosto discutibile e alla fine ho disattivato l'invio.
Il mio personale giudizio è solo sul servizio di posta che, fino ad oggi, ha risposto gratuitamente alle mie esigenze.

DerAdler

od1n0 Ripeto magari capisco male io, ma l'articolo parla chiaramente di account Libero compromessi, per i quali sono disponibili utente e password. Il sistema "breach detector" di Twitter ha individuato tra questi account compromessi account Twitter registrati con quelle caselle di posta Libero e che hanno la stessa password anche per Twitter. Quindi con le credenziali di accesso all'account compromesso di Libero accedevi anche a Twitter. Per sicurezza hanno disattivato questi account, chiedendo al primo accesso una procedura di verifica, che però consta nel mandare un codice/OTP di verifica all'indirizzo email compromesso. Boh, a me mi sembra il cane che si morde la coda.

Riporto i passaggi dell'articolo (con in grassetto le parti rilevanti)

Quello che si è potuto notare, per esempio, è che di questa lista molte email sono state utilizzate per iscriversi a servizi differenti, come per esempio Twitter e, purtroppo, alcune di queste iscrizioni sono state effettuate utilizzando proprio la medesima password riportata nel leak, quindi appartenente (presumibilmente) ad altro servizio Web.

Sono state effettuate delle verifiche, su un campione di email presenti nel leak e, proprio prendendo in esame l’esempio di Twitter, quest’ultimo ha restituito diversi casi di positività all’uso di quelle password.

Le buone notizie, in questo caso, arrivano proprio da Twitter stesso che, grazie all’implementazione, nei propri standard di sicurezza, dell’utilizzo di servizi di breach detector, ha potuto segnalare tutti gli utenti che conservano ancora una password presente su questo leak, con l’obbligo di cambiarla al successivo login utile.

MarcoBux

od1n0 Sì, l'info è preziosa ma effettivamente sarebbe interessante conoscere la fonte...

MarcoBux

DiegoArmando82 Effettivamente sarebbe interessante conoscere la fonte

od1n0

DerAdler io quello lo interpreto come account che hanno come user la mail di libero e password del servizio (es twitter) . Poi che l'iscrizione l' ha fatta l'utente vero utilizzando per iscriversi la stessa password che ha usato per iscriversi ad altri servizi web. Hanno recuperato le password da questi altri servizi ad esempio tramite tecniche di sql injection.Quindi gli account violati non sono quelli di posta di libero ma dei servizi a cui l'utente si e' iscritto fornendo come riferimento mail la mail di libero per la registrazione (che poi spesso diventa lo username).Certo se ha usato la stesas password anche pere l'account di posta allora pure quello e' violato.

DerAdler

od1n0 perdonami, senza voler far polemica anche perchè siamo OT, ma l'articolo che hai linkato l'hai letto?

od1n0

DerAdler si. Ti riporto l'estratto delle origini che presumono:

"Dunque, da dove arriva il data leak? “Difficile dirlo”, dice Paolo Dal Checco a CyberSecurity360, “sono credenziali ottenute anche da attività di phishing di utenti Twitter che hanno email Libero, per esempio”.

Da altre analisi effettuate, abbiamo potuto riscontrare che altre plausibili origini di questo leak, vista la storica età, sono per esempio estrazione di dati, tramite tecniche di SQL Injection, operate su siti Web locali non concepiti secondo le basilari regole di sicurezza informatica.

Ma le password in chiaro? Purtroppo si è potuto riscontrare che in alcuni casi, anche recenti, molti siti Web archiviano le password degli utenti senza tecniche di hashing, restituendole quindi sempre in chiaro."

DerAdler

od1n0 L'articolo in apertura dice:

gira in Rete un archivio di combo relative ad elenchi email e password basate sul dominio @libero.it”.

diciamo che non viene detto in modo esplicito che quella combinazione indirizzo email e password permetta di accedere agli account LiberoMail, ma dato che l'origine del leak non è certa, non si può nemmeno escludere che (quantomeno parte di questi 573.000 account) provenga direttamente da account Libero (e quindi non solo servizi terzi registrati usando indirizzi email libero).
Senza ignorare il dettaglio che se un utente ha usato la password "esposta" abbinata a quell'email Libero anche come credenziali dell'account Twitter (oltre che su altri ipotetici servizi web), è piuttosto probabile che l'abbia usata anche per l'account LiberoMail.

In altre parole, su 573K indirizzi @libero.it presenti in questo leak, converrai che - quantomeno per una percentuale rilevante - la password presente in quella lista permetterà di accedere anche al relativo account LiberoMail. Tradotto, questa percentuale sono account compromessi. Inviare un'email di verifica potenzialmente ad un account compromesso è una modalità opinabile per verificare l'identità di chi riattiva l'account disattivato di Twitter.

magick81

Io ho abbandonato Libero dopo che il mio indirizzo era stato usato come spoofing per inviare spam e truffe ai miei contatti, cosa successa anche ad altri miei conoscenti e parenti. Certo è successo diversi anni fa e magari adesso hanno anche risolto l'inconveniente, ma hanno dato l'idea che i metodi di prevenzione e autenticazione delle email lasciassero a desiderare. Una volta privata Gmail e tutti i servizi correlati, nonché l'interfaccia notevolmente migliore, davvero non ho più avuto motivo di tornare a usare Libero, che ho tenuto a quel punto solo per registrarmi a siti di cui ho scarso interesse e con propensione a inondare di spam.

DerAdler

magick81 come riportato anche nel mio commento, questo è stato uno dei diversi "buchi" gravi che hanno interessato LiberoMail negli anni.

nexus

DerAdler Inviare un'email di verifica potenzialmente ad un account compromesso è una modalità opinabile per verificare l'identità di chi riattiva l'account disattivato di Twitter.

vabeh ma loro nella mail scrivono "se sei l'acheronzolo, non considerare questa mail" 🤪

od1n0

DerAdler non si puo' escludere nulla ma non credo Twitter abbia l'obbligo di prendersi carico degli altrui account. Avra' verificato la lista rispetto ai suoi. Se sono presenti password che permettono di accedere anche agli account mail di libero uguali a quelle di twitter dovrebbe pensarci libero a verificare. Se non c'e' un numero di telefono associato all'account twitter non vedo molte possibilità di contatto se non l'email fornita in fase di iscrizione.Discutibile e opinabile quanto vuoi ma alla fine e' il male minore. Del resto se viene usata la stessa password per accedere a tutti i servizi internet..... mi pare che la responsabilità sia dell'utente in primis.

DavidTozzo

quantomeno han pubblicato, finalmente ,una spiegazione davvero dettagliata:

Non avete testato il sistema? E perché non si è passati al vecchio storage per riaprire le caselle più in fretta?

In considerazione delle dimensioni della base dati (circa 4 PB), della cardinalità dei file e dell’elevata transazionalità del workload applicativo, prove intensive sia funzionali che di carico hanno preceduto la migrazione delle caselle mail dal vecchio al nuovo storage. Sono state effettuate simulazioni col presidio di monitoraggio congiunto di Italiaonline e del vendor e con la validazione funzionale del fornitore dell’applicativo. La migrazione ha avuto inizio l’ultima settimana di Novembre 2022 e al momento dell’incidente circa il 75% delle caselle risultano migrate con successo su nuovo storage senza che nel loro spostamento si sia mai verificato alcun tipo di problema. Fermo restando che un report definitivo sull’incidente deve essere ancora prodotto dal vendor, il disservizio è stato causato dal raggiungimento di una soglia di allarme da parte di un parametro nascosto del sistema operativo dello storage. L’innalzamento del valore non sembra essere direttamente correlato ai volumi, alle modalità di migrazione, al carico o alla tipologia di workload e per questo motivo non poteva essere oggetto di test specifici o di previsioni/simulazioni atte a verificarne il comportamento. Oltretutto il parametro in oggetto è noto solo al produttore e non è documentato. IOL non poteva dunque conoscerne la presenza ed il significato nel contesto delle operazioni sia di simulazione e test che in produzione. Riaprire anche solo temporaneamente il servizio sul vecchio storage per tutte le caselle non era una soluzione percorribile perché gli utenti delle mail già migrate sul nuovo storage non avrebbero avuto la disponibilità delle mail ricevute a valle della data di migrazione della loro casella. Un ripristino delle caselle da backup non avrebbe dato il risultato atteso: il malfunzionamento del parametro ha reso indisponibile lo storage primario mentre una restore sul vecchio storage avrebbe comportato RTO (recovery time objective) elevati e ad un RPO (recovery point objective) non pari a zero, con conseguente rischio di perdita operazioni.

https://aiuto.libero.it/articolo/mail/disservizio-infrastruttura-libero

DerAdler

DavidTozzo boh sarà, ma a me sembra di leggere delle "supercazzole".
Immancabili poi termini in inglese inutili usati tanto perchè "fa figo" (vendor = fornitore, workload = carico di lavoro).

nexus

certo che murphy non va mai in vacanza...
e il personale iol coinvolto in questo episodio se lo ricorderà a lungo, mi sa

DerAdler

od1n0 Ma infatti io non discuto sul fatto che uno è sprovveduto ad usare la stessa password ovunque (chi è causa del proprio mal...), ma rispondevo alle tue considerazioni sul leak, sostenendo che - a mio parere - con buona probabilità una parte consistente di quegli account Libero sono compromessi (e non solo servizi terzi). L'articolo stesso allude evidentemente a questa eventualità, altrimenti perchè parlarne lì?
Del resto, scusami, hai messo tu il link dell'articolo in questa discussione di disservizi, ponendo l'accento sul fatto che, oltre ai problemi di questi giorni, Libero doveva fare i conti anche con (vecchi) leak di suoi account. Se la tua interpretazione è che quel leak riguardava solo account a servizi terzi registrati fornendo un'email Libero, mi viene da chiedere cosa c'entri allora Libero in tutto questo e perchè parlarne qui.

Ciò detto, convengo con te che non è sicuramente onere di Twitter accertare che l'email esposta sia stata verificata. Però, in questa circostanza, credo che una verifica obbligatoria fornendo un numero di cellulare (se non già fornito) sarebbe stato sicuramente un metodo di verifica più sicuro. Capisco che magari ad alcuni la cosa non sarebbe andata molto e genio ed avrebbero interrotto la riattivazione dell'account, ma dato che si parla di "furto di identità" credo siano giustificate anche misure più "restrittive".

matteocontrini

Ho sbloccato alcuni indirizzi email Libero di utenti registrati al forum che erano andati in hard bounce nei giorni scorsi, se qualcuno ha problemi nel ricevere notifiche di vario tipo dal forum ci contatti all'email del forum o tramite il gruppo Telegram.

Giann

matteocontrini ma è possibile avere una percentuale o un numero di utenti del forum iscritti con libero? Per curiosità

MiloZ

Ancora la mia casella di libero non va, mi chiedo quanto tempo ci sia ancora da aspettare prima del ripristino completo…

Freelife

MiloZ Idem Virgilio....... tranquillo siamo in buona compagnia comunque.........

od1n0

MiloZ ho paura che le 24/48 ore siano state una stima troppo ottimistica

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile