Norton LifeLock, azienda che fornisce servizi di protezione dell'identità e sicurezza informatica, ha recentemente annunciato che migliaia di clienti hanno visto compromessi i loro account. Secondo un avviso di violazione dei dati pubblicato dalla società madre, Gen Digital, l'attacco è stato probabilmente causato da un attacco di "credential stuffing", in cui vengono utilizzate credenziali precedentemente esposte o violate per accedere a diversi account su siti e servizi diversi che condividono le stesse password. In questo modo, gli hacker riescono ad accedere ad account protetti solo da una password.
Nello specifico, nell'avviso di violazione dei dati, inviato a circa 6.450 clienti i cui account sono stati compromessi, si legge: "accedendo al vostro account con il vostro nome utente e la vostra password, la terza parte non autorizzata potrebbe aver visualizzato il vostro nome, cognome, numero di telefono e indirizzo postale". L'azienda ha dichiarato che gli intrusi avevano iniziato ad accedere agli account dei clienti già dal 1° dicembre, ma solo il 12 dello stesso mese i sistemi di sicurezza di Norton LifeLock hanno rilevato un "grande volume" di accessi falliti.
Questo è l'ultimo incidente del genere che coinvolge il furto delle password dei clienti. Tuttavia, i gestori di password, strumenti che consentono agli utenti di generare password uniche e complesse, che possono essere difficili da indovinare o da decifrare e di memorizzarle in modo sicuro, sono ancora ampiamente raccomandati dai professionisti della sicurezza, a patto che vengano adottate le precauzioni e le protezioni adeguate per limitare i danni in caso di compromissione. Ad esempio, è importante utilizzare un gestore di password che utilizzi la crittografia forte e che offra la possibilità di attivare l'autenticazione a due fattori. Inoltre, è fondamentale che gli utenti non utilizzino la stessa password per più account e che la cambino regolarmente.