Si prendano migliaia di ingegneri, alcuni dei quali al soldo di grandi gruppi del mondo della tecnologia a livello internazionale. Si prenda una entità quale la IEEE (Institute of Electrical and Electronics Engineers) e tutto quel che propone in termini di tecnologia, innovazione e sicurezza. Si prenda un database importante, contenente nomi, password e dati personali. Nulla lascerebbe pensare che un mix del genere possa restituire risultati apprezzabili, ed invece qualcosa sembra essere andato storto. Con esiti, per molti versi, scoraggianti.
L’analisi, i cui esiti hanno sfumature scandalose, è stata firmata dal ricercatore Radu Dragusin il quale ha messo mano ad un database della IEEE riuscendo a ricavare ben 100 mila nomi e password dei membri del sito (molti dei quali, peraltro, italiani). Trattasi di riferimenti di estrema importanza poiché in molti casi ingegneri dipendenti di gruppi quali Apple, Google o IBM. I dati recuperati sarebbero disponibili in formato testuale, senza alcuna cifratura a protezione dei contenuti estratti. Ma se tale vulnerabilità del sistema è già di per sé clamorosa, qualcosa di peggiore è scaturito dall’analisi dei dati trafugati.
Se si pensa che ingegneri attivi nel mondo della sicurezza siano più accorti di un qualsivoglia utente comune, allora occorre ricredersi: la seconda password più utilizzata sul database è infatti la tradizionale “123456“, superata soltanto da una comunissima “ieee2012”; seguono “12345678” e “123456789”. Prima di “1234567890” vi sono “password” e “library”, seguite da “123”, “12345” e “1234”. La sequenza continua con “IEEE2011”, “Password”, “abc1234” e “admin”, il che completa un quadro del tutto deludente in termini di fantasia, consapevolezza ed impegno nel garantire la sicurezza dei propri account online.
Il file analizzato era ospitato su directory FTP e pesava 100GB: il ricercatore ha sottolineato come, prima di questa analisi, chiunque avrebbe potuto avervi accesso e non è detto che qualcuno non abbia già approfittato in passato della situazione. La IEEE ha nel frattempo operato le misure di sicurezza necessarie per mettere al riparo gli account da occhi indiscreti, nella speranza che anche gli ingegneri della sicurezza dimostrino di saper mettere in campo ciò che predicano quotidianamente in termini di best practice per le operazioni online.