“Questo è un grande giorno per tutti noi“, si legge nel breve comunicato allegato ai file. “E un pessimo giorno per le università italiane. I loro siti sono deboli, pieni di falle. Come fate a dare i vostri dati a idioti del genere? È uno scherzo? Cambiate password ragazzi; cambiate concetto di sicurezza, università. Avremmo potuto rilasciare molto di più, avremmo potuto distruggere dati e reti intere. Siete pronti per tutto questo?“
La notizia ha iniziato a circolare tramite un tweet con allegato un link per scaricare un elenco di dati. In quell’elenco nomi, cognomi, nomi utente e password (oltre che altri vari dati) di circa 20 università italiane e un file allegato di cui potete leggere il testo nel quote.
A rivendicare l’attacco un gruppo chiamato LulzStorm e i siti attaccati sono stati:
Siena (unisi.it)
Salerno (unisa.it)
la Sapienza (uniroma1.it)
Antonianum (anotonianum.eu)
Economia a Cagliari (econoca.it)
Bari (uniba.it)
Bocconi (unibocconi.it)
Foggia (unifg.it)
Messina (unime.it)
Milano Bicocca (unimib.it)
Urbino (uniurb.it)
Bologna (unibo.it)
Pavia (unipv.it)
Seconda università di Napoli (unina2.it)
Lecce (unile.it)
Milano (polimi.it)
Torino (unito.it)
Modena e Reggioemilia (unimo.it)
Se siete studenti iscritti ad una di queste università forse è meglio che date un’occhiata e cambiate la vostra password…
Via www.repubblica.it
Fonte www.universita.it
Send to Kindle
Per fortuna che il polito non è stato colpito…
Ps.. avete visto i dati rubati?
e’ scandaloso.. tutti quanti usano il nome come password.. che buffoni
da quelli di palazzo nuovo c’è da aspettarsi questo ed altro
Ahahaha..come nn confermare…
Polito is better
mmm….io sto a palalazzo “nuovo” e voi troll non siete nella sez. torino????
Mi aggrego con sollievo per il mancato attacco a RomaTre.
Anche se gli augureri peste e corna a quell’università maledetta.
Per quello devi essere davvero bravo!
Già è difficile entrare per chi ha user e password, figuriamoci se devi pure fare un buco.
Secondo me questi hacker non riuscirebbero nemmeno a prenotarsi ad un esame (avendo le credenziali ovviamente)
Ho cambiato subito la mia psw, prima che qualcuno mi vada a fare gli esami!
Fosse mai che me ne registrano qualcuno che non ho ancora dato…
sarebbe stato ancora più divertente se avessero messo 30 a tutti…
io spero che mi alzino la media….gliel’ho anche chiesto su twitter
Certo che gli atenei di Puglia non sono stati risparmiati eh…tutti e tre.
Già! La cosa mi fa riflettere molto!
Si ma cheppalle, che già il sito dell’Uniba funziona come il quatso -.-
E te pareva invece la mia è bella che presente nell’elenco! Vado a cambiare psw…
Ovviamente c’è anche la mia. Uff! E ovviamente il servizio di cambiamento password dà errore!
Non capisco perché invece di commentare normalmente mi abbia fatto rispondere. Pardon!
Sì, ma le password sono tutte criptate in MD5…
MD5 si decripta ..
E anche facilmente anche se non tutte sono decriptabili
Non tutte.
Non tutte, alcune (tipo quelle della mia università) sono in chiaro…
a Bologna è stata colpita solo economia, e nei file non c’è niente di compromettente per gli studenti
Massimo Baldini secondo voi che password potrà mai avere? Ma ovviamente Massimo!
LOL
scusa hai visto unito?
scandaloso
TUTTI hanno nome come pass..
Certo che in quasi tutti i siti è vietato inserire l’username nella password. lol Io uso i nomi degli altri.
E’ anche vero che di Unito i dati presi sono pochissimi…
Cosa volevi aspettarti da economia?
Cacchio mi hai anticipato … e questo voleva essere anche il mio primo post.
Comunque volevo aggiungere a quello che hai scritto tu che da un’occhiata rapida le password che ci sono sono tutte criptate (era auspicabile) personalmente non sono molto capace ma presumo che è sì consigliabile cambiare password ma non strettamente necessario.
Volevo poi fare una domanda a chi ha la fortuna di trovarsi nelle liste di user con la password spiattellata ma questi dati di accesso sono per servizi di mail e accesso per materiali ditattivi o anche per l’accesso ai sistemi di prenotazione e visione esami?
Grazie
Non ho cattive intenzioni è solo per chiedere (vi fiderete no? :°D)
Ci sono persino password per brevetti, figurati tu…
non è vero.. molte sono non criptate ..
belle leggibili
Rettifico alcuni file contengono password in chiaro alcuni addirittura per la gestione del cms.
Tanti auguri ai sistemisti delle Uni.
Esatto, solo alcuni lo sono…
Tutte le pass di account del tipo @campus.unimib.it sono facilmente rintraccialabili con un semplice “cerca”(visto che nell’indirizzo è scritto nome e cognome del proprietario)si son limitati a separare di tot righe l’indirizzo mail e il blocco con tutti gli altri dati…cosa che diventa molto problematica se la separazione non ha seguito criteri randomici…..ed è comunque un problema per tutti quei furboni che usan la stessa pass per tutto….
Ma sono l’unico grammar nazi ad aver notato “è meglio che date un’occhiata”? :look:
Si, perchè fino a prova contraria “occhiata” è femminile…
Penso si riferisse a “è meglio che DIATE un’occhiata” (
)
EDIT: ma anche no! Per quanto forse sia giusto suona orribile…
i’m sorry elio..
aww yeha
Ho controllato il log dei dati rubati e sono tutti account (o quasi, non ho controllato dettagliatamente tutto il log) di aziende. Fossi in voi non mi preoccuperei.
Invece a me sembra ci siano anche account di professori e studenti.
Si se leggete poco sopra noterete che ci sono anche alcuni utenti della Lega e immagino siano studenti…
E’ TUTTO INUTILE!!!! La mia Università è stata attaccata e mi stanno girando le palle non poco. Il problema non è la complessità di ste passwords, potete anche mettere passwords con lettere e numeri di almeno 10 caratteri, ma se vengono salvate in chiaro, sarà cmq facile rubarle. Che vergogna marò… e che palle!!!!!!!!!!!!!!!!!!!!!!!!
Secondo me il PoliBa non l’hanno attaccato per pietà
!
Secondo la mia ragazza, visto che manca anche il PoliTo, si tratta di gente che fa il Poli…
Manca anche unipd, quindi non mi pare fondatissima come ipotesi
Lo so ma infatti lei è stata contenta di questa deduzione e gliel’ho lasciato credere ahahahahahaha
Manca anche UniMI
Ci ho pensato anche io…domani mi guarderò in giro con sospetto…
Se è per questo stamattina al PoliTO saltava la connessione contemporaneamente a tutti.
o avevano tutti gli access point in botta.. oppure
Io credo fossero in @bota
Quoto
grazie a Cthulhu l’università di Firenze fa troppo schifo per essere attaccata
Certo che ragazzi vi rendete conto? E’ uno scenario allucinante. Da me con le credenziali della posta si accede a TUTTI i servizi dell’università. Questi dati possono cancellare la vita di studenti e professori. Dopo 5 anni di università, ti manca l’ultimo esame (domani), ti svegli e non esisti più, non hai fatto nulla questi 5 anni, mai pagate le tasse, mai fatti esami… (no non è vero, c’è qualche archivio sicuro e tengo una copia cartacea di tutto, ma quasi).
Eh si a Torino funziona uguale: con un accesso puoi fare e disfare praticamente ogni cosa della vita universitaria..
non credo si arrivi ad un tale stato di terrore. mi sto chiedendo se sia possibile fare un rollback del db nel caso succedesse qualcosa.
Se salvano le password in chiaro..
è già tanto se hanno un DB!!
Non credo sia così semplice, la mia università ad esempio richiede una doppia identificazione. L’identificazione per prof e admin è sia “software” cioè con il classico user e pass sia hardware con una chiavetta usb in cui è criptata a 128 una chiave necessaria per accedere alla modifica. L’ho vista utilizzare diverse volte ai miei prof quando mi registravano l’esame… ah ne avessi avuta una!
Beh però considerando che l’uni di messina lascia a cani e porci tutte le sue pass in chiaro non posso aspettarmi che tutte le uni adottino gli stessi sistemi di sicurezza.
nel 2007 ho contribuito a realizzare una parte (quella di segreteria per giunta!) del sito ing.univaq.it (non colpito dall’attacco odierno, non ci cagano più nemmeno i Lulz…!) e utilizzavamo le funzioni md5 del php per salvare e verificare le password!
eravamo borsisti e io facevo il primo anno di specialistica, gli altri bene o male avevano quella età e l’esperienza non poteva di certo essere tanta.
ci facevano fare un lavoro da professionisti e abbiamo solo avuto la fortuna di avere un responsabile “cazzuto” che ci imponeva delle linee guida da seguire per ogni aspetto, dalla sicurezza alla usabilità.
con questo cosa voglio dire? che visto l’andazzo delle università italiane, non mi stupirei più di tanto se quel responsabile non fosse cazzuto, ma un raccomandato qualsiasi messo li perchè nipote di quellolà, e che non sapesse nemmeno cosa è l’md5!
non mi stupisco quindi di vedere così tanti siti universitari che mantengono le password in chiaro…
Secondo me le università nn spendono niente in sicurezza dati i tagli…tu già parli al plurale dicendo che c’era un capo progetto e “dei” borsisti…credo che in queste uni al massimo sia una persona sola ad occuparsene, con scarse risorse…
Non riesco a scaricare il torrent, qualcuno che si sta spulciando il log sarebbe così carino e gentile da vedere se per l’unipv ci sono account di studenti di scienze e nel caso se ci sono anch’io? Mi chiamo Alessia Civita. Grazie mille!!!
Il tuo nome c’è: non c’è una vera e propria password e nome utente ma un codice…non saprei dirti di cosa però.
Guardando le pass rubate all’unimib ho notato che han separato gli indirizzi e il blocco con nome, congome, pass ecc; se la tua mail richiama il tuo nome basta un cerca e chiunque conosce la tua pass, quindi se il tuo nome c’è meglio che cambi pass a prescindere per evitar casini
Ehm, sì.
Grazie a entrambi. Appena si potranno di nuovo cambiare le credenziali di accesso provvederò.
Cmq loro nn le hanno mica pubblicate tutte…loro cmq ce le hanno…
Esatto!
Ci sei, ma non preoccuparti troppo, l’unipv ha le password criptate…ad ogni modo meglio cambiarla…
Per il momento non è possibile cambiarle. Già che c’erano però potevano aggiungermi qualche voto, no?!
Penso che l’idea di almeno il 99% percento degli studenti sia stata:” Dai che mettono 30 a tutti, daidaidaidaidaidaidai”
Non serve il torrent….c’è un file hostato su mediafire facilmente raggiungibile :O)
Link?
Io non so nemmeno cambiare password sul polimi.
Adesso tutti sapranno quanto sono fuori corso…
idem
come sopra
e mi aggrego pure io
Amen fratello
idem con patate!
unipr non se la caga nessuno… meglio così
A messina siamo messi peggio.. il mio nome e quello dei miei colleghi non l’ho trovato, ma ci sono andati giù pesanti poiché, usando le loro stesse parole, “Yeah, they don’t know how to use MD5…”.
Che vergogna
Bah, a me sti cavolo di attacchi hacker hanno un po’ rotto le scatole…
Dal PSN in poi hanno iniziato a rompere i maroni…
Sarà che non vedo lo “scopo più grande” se non quello di rompere pesantemente le scatole a chiunque e dimostrare che loro sono i più belli/forti/fighi….
Il loro fine penso sia dimostrare quanto fragile/buggato/fallato (mettetela come volete) sia il web ma soprattutto a chi “affidiamo” i nostri dati e di conseguenza la nostra “vita”
Esatto….
Posso capirlo… Ma secondo me ci sono anche altri metodi per farlo, per esempio senza pubblicare i dati trovati in modo che siano disponibili anche a malintenzionati, ammesso e non concesso che loro non lo siano…
E poi, diciamocela tutta, Nome congnome codice fiscale e altri dati sensibili sono di fatto disponibili a chiunque con minimo sforzo… i dati più sensibili come numeri di carta di credito sono più “sicuri”, infatti con l’attacco a sony a quanto mi risulta non sono riusciti a prenderli… Correggetemi se sbaglio…
Sbagli…
ma questi Hackers tipo andarsi a fare una bella passeggiata no eh….sfigherrimmi
Posso capire che questi attacchi servano per mettere in luce le debolezze sulla sicurezza, però perchè diffondere i file rubati in rete?
Sarà perchè sono ancora all’università e lo sento come un mondo di cui faccio parte, ma non trovo proprio il senso di distribuire i dati sensibili di studenti e professori.
Perchè sono Black Hat.
cioè i cattivi.
La loro filosofia è errata.
Meglio i White Hat.. quelli almeno cercano di aiutare la rete
Unimib è uno dei siti peggiori al mondo. Da una parte sono contento che sia quello più massacrato (lo dico dall’alto del fatto che non hanno toccato l’account della mia donna
)
del polimi ci stanno solo qualche account del dottorato e della sezione brevetti pure io li potevo pubblicare… buffoni finti moralisti
E arriva lo sborone che poteva ma non l’ha fatto…
a parte la buffonaggine
effettivamente c’è molta poca roba e tutti account che non danno accesso a servizi sensibili (da quello che sembra guardando i dati e da quello che hanno dichiarato via mail quelli del poli, almeno)
cmq per fortuna non ci sono!
@0x87k
Posso capirlo… Ma secondo me ci sono anche altri metodi per farlo, per esempio senza pubblicare i dati trovati in modo che siano disponibili anche a malintenzionati, ammesso e non concesso che loro non lo siano…
E poi, diciamocela tutta, Nome congnome codice fiscale e altri dati sensibili sono di fatto disponibili a chiunque con minimo sforzo… i dati più sensibili come numeri di carta di credito sono più “sicuri”, infatti con l’attacco a sony a quanto mi risulta non sono riusciti a prenderli… Correggetemi se sbaglio…
unitn salva per ora ottimo =)
cioè cioè ora dovrei verbalizzare con il pene?
CHE PALLE! Adesso mi tocca cambiare la password, che tra l’altro era la “fiore all’occhioello”.
Mi chiedevo: ma invece che scassare la uallera d’oro questi lulzozzoni non potrebbero aggiungermi qualche esame su infostud?
anche una bella borsa di studio a buffo ci starebbe bene… e invece no vengono rompere il cazzo a noi studenti che siamo COSTRETTI a iscriverci a siti fatti con gli arti inferiori dei gibboni del Borneo.
Se la prossima volta fanno qualcosa di veramente utile chiamatemi.
sti finocchi. ma perchè non si divertono come tutti quanti davanti a qualche filmino di youporn??
“Poche ragazze da quelle parti eh?” (cit.)
“Po.Ra.Da.Que.Pa”
Gente strana gli Evroniani.
Un gesto imho inutile e privo di significato.
Poi vabbè, i siti delle università mi sembra assodano che facciano cagare lol
l’UniGE non se la cagano manco gli hacker
Colpevole di usare il nome come password sul sito di unito. Sinceramente 0 voglia di cambiarlo visto che mai più pensavo che qualcuno attaccasse il sito dell’uni. Ora corro a cambiarla!
Arrivata la prima azione seria da Anonymous contro il governo turco http://i51.tinypic.com/203u2w.png
Infostud di schifo. Quando cambieranno quel sistema bisognerà stappare una bottiglia di Dom Pèrignon sotto la Minerva.
Ma che bravi attaccare le università, “i can count to potato”. E’ sparare sulla crocerossa. Che ragione c’era? è come attaccarsi da soli visto che hanno attaccato quasi tutte università pubbliche. L’attacco più stupido e inutile che si potesse pensare.
A Lettere dell’Aquila (dove mi sono laureato) con login e password puoi solo vedere come ti chiami, che voti hai preso e se hai pagato le tasse. Si fa ancora tutto a mano e su carta…viva le cose fatte all’antica, sono inattaccabili (anche se hanno dovuto scavare una settimana dopo il terremoto appunto per andare a pescare tutto sotto la sede crollata
)
Ma questi lottano contro la pubblicazione delle vulnerabilità (non è questo lo scopo dell’Anti-sec?) perché ritengono che in questo modo si mettono le persone in mano ai malintenzionati e alle aziende di sicurezza…e poi pubblicano le password di millemila studenti, mettendole in mano ai malintenzionati? In Italia gli studenti hanno già fin troppe rogne a cui pensare e li vai a danneggiare? Ma chi è il loro stratega, Calderoli?
Stupido e inutile un cazzo… Come qualcuno ha scritto sopra, il sito dell’università rappresenta e gestisce la tua carriera di studi: pensa che bello trovarti un giorno ad avere registrato un solo esame, il giorno prima della laurea.
E il vero problema non sono gli hacker che sono “cattivi”, “blackhat”, “segaioli” (ho letto di tutto sopra, su questo sito non me l’aspettavo francamente), ma sono gli utenti che sono idioti. Le password rubate sono buona parte di account strutturati in questo modo
Nome Cognome
Email: nome.cognome@università.in.questione.it
Password: nome, oppure cognome, oppure nomecognome
In sostanza conoscendo soltanto un’email io in tre tentativi di login sono dentro!
Come sempre la sicurezza di un sistema è data dalla sicurezza dell’anello più debole: il problema, per citare Schneier, è quello di “educare gli utenti”.
Totalmente d’accordo, attacchi del genere non sono assolutamente inutili.
Rompere i coglioni agli studenti, che già hanno troppi problemi? Ma che discorso è? Che gli studenti imparino a ricordarsi una password un minimo sensata se non vogliono rischiare di avere problemi in futuro!
Spero solo che i tecnici di sistema di (nel mio caso) unito si siano accorti del tutto e che stiano cercando di rafforzare un po’ i sistemi di sicurezza, cosa della quale però dubito.
Ma figurati!! La metà della gente (studenti e docenti) non ha nemmeno capito che cosa è successo…
Già, e cambieranno la pw da nomecognome a cognomenome, impiegando il doppio del tempo ogni volta al login per fare i 2 tentativi.
Comunque potevano pubblicare il 730 dei rettori invece delle pw degli studenti, i quali, dopo essersi visti rubare il futuro, ora rischiano di finire nei quarzi anche per l’account dell’uni.
E nel log si lamentano che gli studenti danno in mano i loro dati ad università informatizzate male. E che colpa ne abbiamo noi? Quando mi immatricolo devo andare a chiedere al sistemista come cifrano le pw o come gestiscono il fw, prima di scegliere l’università???
Non ci sono i soldi per i laboratori didattici, i ricercatori fanno più didattica che ricerca, i prof passano le giornate a procrastinare fondi privati per far campare i loro lab, 3 persone in segreteria devono gestire 20mila studenti, le rette aumentano, la qualità precipita… Ci sono problemi ben più gravi, mi pare…
Più che altro come è stato scritto poco su, non è che io SCELGO di iscrivermi come potrei fare su qualsiasi altro sito: quei sistemi informatici mi vengono imposti e sono assolutamente obbligatori!
E’ inutile che io mi metta una pass di 15 caratteri speciali, 8 lettere random 15 cifre numeriche a buffo (chemmancobitifulmaind) se poi il sistema della mia facoltà sta con le “braghe calate”.
Non mi sembra proprio che questi sedicenti hacker si siano messi a fare tentativi utente per utente, sono entrati e pum dopo 5 minuti avevano tutto il database, che cosa centra mettere la pass “patatina” piuttosto che “123456″ loro l’avrebbero saputa lo stesso.
Che poi bisogna usare password complicate e non facilmente intuibili rientra in tutt’altro discorso e non è grazie a questo intervento che l’utente medio cambierà abitudini.
Yes,yes….
Bom, unimi non se la caga nessuno
UniCT, miglior ateneo della Sicilia
Per informazione:
polimi
Sivabbeh sono stati bucati anche loro…c’è poco da essere orgogliosi!
Il PoliTO dice così:
“mai aprire gli allegati presenti in e-mail di dubbia provenienza” cosa siamo, nel 1999? Dyo santo.
http://www.magazine.unibo.it/Magazine/Notizie/2011/07/07/Attacco_hacker.htm sarà vero?