È uno degli attac­chi informatici più vasti che si possa ricordare. Alle oltre 10 mila caselle di posta elettroni­ca targate Hotmail «svelate» con la pubblicazione su Inter­net delle password, nella gior­nata di ieri è comparsa online una seconda lista, pari ad alme­no altri 20 mila account che fan­no capo a GMail di Google, a Yahoo!, all’americano Aol e ad altri provider minori. Un dan­no agli utenti dei servizi di po­sta online — oltre 400 milioni nel mondo se si fa riferimento alla sola Hotmail di Microsoft, la più diffusa —, che appare in realtà come un pesante attacco ai bersagli grossi delle multina­zionali dell’informatica.

La notizia è inizialmente ap­parsa su un blog di cosiddetti «smanettoni», Neowin.net, che denunciava appunto la pubblicazione sul Web dal pri­mo ottobre di 10.028 account della webmail di Microsoft. La sterminata lista di dati sensibi­li, che comprendeva utenze email per la maggior parte di provenienza europea che anda­vano dalla «A» alla «B», era sta­ta pubblicata sul sito per svilup­patori Pastebin.com e poi ri­mossa su richiesta di Micro­soft. Ieri il nuovo attacco, con la pubblicazione della lista di al­tre email sullo stesso sito, che è stato quindi rapidamente messo offline, ufficialmente per motivi di manutenzione.

Quella che dunque sembra­va una sorta di minaccia con­tro Microsoft, si è invece estesa anche ad altre aziende. E tutte sono concordi sulle cause: «Non c’è stata alcuna breccia nei sistemi di sicurezza dei ser­ver che gestiscono le web­mail », spiega Luca Colombo, di­rettore marketing per l’Italia di Msn e Windows Live di Micro­soft. «I dati pubblicati in chiaro sono stati tutti ottenuti tramite 'phishing'». Una pratica che, at­traverso messaggi di posta e si­ti falsi, induce i navigatori me­no esperti a immettere i propri dati sensibili, dagli account di posta — pagati al mercato nero dai 10 centesimi di dollaro l’uno in su — ai dati d’accesso online al conto bancario. Con­clude Colombo: «Questo siste­ma di furto dei dati è un proble­ma globale che riguarda tutte le aziende che si occupano di ser­vizi web. Ed è difficile da bloc­care perché colpisce il punto de­bole, ossia l'utente ignaro e po­co esperto delle dinamiche, an­che criminali, della Rete».

Non è chiaro l’impatto che l’attacco ha avuto in Italia, do­ve gli account Hotmail attivi so­no oltre 11 milioni. Il rischio è che se si usa un’unica pas­sword per accedere alla banca online, alle email e a altri servi­zi, gli hacker potrebbero avere in mano una sorta di passe-par­tout per entrare nella vita di mi­gliaia di navigatori.

Ma da Microsoft gettano ac­qua sul fuoco, spiegando che il servizio clienti non ha avuto picchi particolari di chiamate. Tutte le caselle postali «forzate » sono state individuate e quindi bloccate. Sia l’azienda di Redmond sia Google hanno istituito una pagina online, at­traverso la quale gli utenti che sono stati estromessi dalla pro­pria posta elettronica hanno ot­tenuto un nuovo accesso. L’al­larme appare rientrato, ma ri­mane l’impressione di una ve­ra campagna di terrorismo onli­ne. «Pubblicare in chiaro così tanti indirizzi di posta non ha precedenti e, volendo, ha an­che poco senso, perché non porta alcun utile ai malviventi che hanno raccolto i dati», spie­ga Raoul Chiesa, storico hacker italiano che ora lavora per la si­curezza informatica delle azien­de. «Sembra un atto di minac­cia per mostrare le debolezze di fondo dei colossi dell'Infor­mation Technology. Si potreb­be definire una pesante 'goliar­data', se non fosse che ha getta­to gli utenti della Rete, soprat­tutto i meno esperti, nel pani­co » .(da vitadigitale.corriere.it)

Federico Cella