Non usare la stessa password su più siti

Utilizzare la stessa password su siti diversi mette a rischio l’intero ambiente di lavoro e va contro principi basilari di sicurezza informatica. Non si tratta di un rischio teorico: questo comportamento errato ha già penalizzato diversi colleghi.

Molte persone si registrano a siti non istituzionali (Dropbox, LinkedIn e altri) usando come username il proprio indirizzo mail. A più di 500 colleghi è stata trafugata la password in tali siti. Si sono già verificati vari casi di accesso fraudolento alla mail universitaria di persone che avevano scelto per tali siti la stessa password usata per la mail universitaria.

Per ripristinare il funzionamento corretto è stato necessario bloccare la casella mail, impedendone quindi l’utilizzo al suo legittimo proprietario. In alcuni casi sono stati inviati, prima del blocco, decine di migliaia di email spam all’insaputa del proprietario e questo ha provocato il blocco del servizio mail per tutto l’ateneo. I tecnici informatici sono dovuti intervenire urgentemente per investigare e risolvere ogni singolo caso. Il grande dispendio di tempo è stato sottratto ad altre attività necessarie per l’operatività e per lo sviluppo dei servizi di tutto l’ateneo.

Invitiamo tutti a riflettere sull’importanza della password in quanto associata ad operazioni che hanno implicazioni anche di carattere legale (ad esempio, per la verbalizzazione online degli esami o per la protocollazione della corrispondenza informatica).
L'utilizzo fraudolento di una casella mail, inoltre, è spesso associato all’invio di contenuti che mettono in imbarazzo il legittimo proprietario, ignaro di ciò che viene fatto circolare a suo nome.

Invitiamo tutto il personale dell’ateneo a NON utilizzare su altri siti la stessa password usata per i servizi di ateneo.

Per saperne di più - FAQ

La password è stata rubata dai server di ateneo?

No, la password è stata trafugata grazie ad una penetrazione in server non di ateneo, insieme a centinaia di migliaia di password di altri utenti che non hanno alcun legame con il nostro ateneo.
Gli accessi fraudolenti alle caselle di posta di ateneo sono avvenuti perché i legittimi proprietari hanno usato per altri siti la stessa password utilizzata per la loro casella di posta istituzionale.
Non ci sono elementi per affermare che le password siano state trafugate dai server di ateneo.

La password è stata rubata a me? Ho un malware in qualcuno dei miei dispositivi?

La password è stata trafugata grazie ad una penetrazione in server non di ateneo, insieme a centinaia di migliaia di altre password.
Non ci sono elementi per affermare che sia stata trafugata al suo legittimo proprietario o che i dispositivi del proprietario siano affetti da malware.

Come siete venuti a conoscenza di questi furti?

Un ricercatore mantiene un sito specializzato come servizio per la comunità (https://haveibeenpwned.com/). Questo sito consiste di un database contenente indirizzi email e username coinvolti nei furti di cui si discute nei forum di hacker. Il database non contiene le password. Chiunque può verificare gratuitamente ed istantaneamente se indirizzo email o username siano presenti nel database (vedi sotto).

Come faccio a sapere se è stata trafugata la mia password?

Chiunque può verificare gratuitamente ed istantaneamente se il proprio indirizzo email o username, sia presente nel database e, in caso affermativo, in quale sito sia avvenuto il furto.
La verifica deve essere effettuata inserendo sul sito https://haveibeenpwned.com/ il proprio indirizzo email (esempio rossi@units.it, bianchi@amm.units.it, ecc.)
Qualora si possiedano più indirizzi email, verificateli tutti .
La verifica inserendo il proprio numero di matricola (esempio: 1234) NON ha alcuna utilità.
E’ possibile chiedere al sito di memorizzare il proprio indirizzo email. Qualora, in futuro, quell'indirizzo email venga inserito nel database a seguito di un furto di credenziali, il sito provvederà ad inviare automaticamente una notifica email (funzionalità “Notify me”).

Devo verificare se è stata trafugata la mia password?

Non è necessario ma è utile. La verifica può essere fatta come indicato al punto precedente.

E’ stata trafugata la mia password: cosa devo fare?

Se usi quella stessa password in altri siti allora è estremamente importante cambiarla almeno nei siti più importanti.
E’ fondamentale non usare quella stessa password nei siti di ateneo.
Se sei certo di non usare quella stessa password in altri siti allora non devi fare nulla (solo cambiare la password sul sito da cui è stata trafugata).
Se non ricordi quale fosse quella password allora, forse, non hai l’abitudine di usare la stessa password in più siti.
Ricordiamo che sono stati predisposti dei suggerimenti sintetici e focalizzati per un uso corretto delle password, disponibili nella pagina del sito di ateneo dedicata alla sicurezza informatica.

E’ stata trafugata la mia password: qualcuno ha acceduto alla mia casella mail?

Se per la mail universitaria usi una password diversa allora questo furto è irrilevante.
In ogni caso, quando abbiamo evidenza di accessi fraudolenti provvediamo immediatamente al blocco della casella mail ed avvisiamo il proprietario.

Quali accessi fraudolenti sono stati fatti alle caselle di posta di ateneo?

Abbiamo evidenza di accessi fraudolenti ad alcune caselle email con indirizzi della forma @units.it contenuti nel database sopra citato.

Informazioni aggiornate al: 02/07/2018 - 15:15