Gawker Media chiede scusa per le falle nella propria sicurezza

Gawker Media sotto attacco: rubati username e password

Dopo l'attacco e la magra figura con tutti i suoi iscritti, arriva per Gawker Media il momento di fare pubblica ammenda sui propri sistemi di sicurezza, promettendo allo stesso tempo di migliorare l'infrastruttura web introducendo anche un doppio sistema di autenticazione per i membri del proprio staff.

A esporsi in prima persona è stato il capo del reparto tecnico di Gawker Media, Tom Plunkett, ai microfoni di The Next Web, ai quali ha ammesso il basso livello di sicurezza della piattaforma:

"È chiaro che il team tecnico di Gawker non ha adeguatamente assicurato la piattaforma da attacchi di questa natura. Non eravamo neanche preparati a rispondere quando necessario"

Rincara la dose l'esperto in sicurezza Mike Bailey, dopo aver preso visione del codice sorgente della piattaforma (e aver aperto un apposito account Twitter @gawkerbugs):

"Dopo aver guardato al codice PHP di Gawker, sono scioccato dal fatto che non sia successo prima: codice di test dappertutto, bug a volontà. Andrò avanti facendo una previsione: niente meno di una completa riscrittura del sito potrà mantenere Gawker online a questo punto."

Vero e proprio punto debole che The Register definisce amatoriale (a ragione) è l'uso della crittografia DES, notoriamente troppo debole per resistere agli attacchi di tipo moderno. L'uso di DES ha permesso così agli autori dell'attacco di ricavare rapidamente i primi 8 caratteri di ogni password, ottenendo così in molti casi la parola completa.

Plunkett ha comunque fatto sapere che Gawker non memorizzerà più i dati personali dei propri scritti, affermando di aver perso la fede dei propri lettori e di non meritarla indietro.

  • shares
  • Mail