David Berlind ha offerto su ProgrammableWeb un’approfondita valutazione dei recenti attacchi ad Adobe – che ha esposto le credenziali d’oltre 2,9 milioni di utenti della Creative Cloud – Buffer e Instagram. Tutti e tre i servizi utilizzano, come la maggioranza dei social network, il protocollo OAuth: un sistema d’autenticazione basato sui token che non richiede il “tradizionale” inserimento di nome utente e password. Come anch’io sospettavo, esiste un problema di sicurezza che non dipende soltanto dalle diverse implementazioni.

Essendo stato colpito dallo SPAM via Buffer, mi sono domandato se a essere compromesso fosse giusto il token di Twitter: non ho avuto gli stessi problemi con Facebook, che aggiunge a OAuth un secondo meccanismo di controllo. Berlind ha confermato la mia ipotesi, spiegando che il protocollo in sé non è sufficiente a garantire la sicurezza degli account — perché gli stessi manutentori invitano a utilizzare degli strumenti complementari. Se una piattaforma non li prevede, è molto probabile che gli utenti siano esposti a dei rischi.

Una spiegazione dettagliata richiederebbe troppo spazio, ma è “curioso” che Twitter utilizzi OAuth 2.0 e Facebook la versione 1.1: l’aggiornamento del protocollo ne ha aumentato la complessità, eppure la precedente – associata a un token aggiuntivo – funziona meglio. Finché sono intercettate le stringhe relative alle Application Programming Interface (API) di Instagram per un reverse engineering, il problema è relativo. Quando a essere compromessi sono gli account degli utenti della Creative Cloud occorre fare molta attenzione.

Photo Credit: José Alejandro Carrillo Neira via Compfight (CC)