spotify

En els darrers dies dos fets han posat el tema de la seguretat de les nostres dades d’accés a la xarxa en portada de molts blocs.

El més recent, ahir, quan l’Antonio Ortiz d’Error500 es feia ressò d’una nota emesa en el bloc d’Spotify.

A la nota oficial es comentava que per un error seu, els usuaris que havien creat un compte a Spotify amb data anterior al 19 de desembre, i que no havien canviat la seva clau d’accés posteriorment, podrien córrer el risc que les seves dades (contrasenya, dades de registre com l’adreça de correu electrònic, la data de naixement, el sexe i el codi postal) haguessin estat copiades per tercers amb possibilitat de ser desencriptades i utilitzades per obtenir informació en altres indrets.

Setmanes enrere, saltava un altre cas alarmant quan algú o alguns malintencionats usurpaven la personalitat digital de Christian (cvander) responsable de “Foros del Web” i de “Maestros del Web“, prenent control del domini d’aquests indrets i d’altres serveis del responsable.

Algú va tenir accés al compte de correu d’en Christian (possiblement per mitjà d’un Cibercafè) on centralitzava tota la gestió dels esmentats llocs.

A partir d’aquí va ser fàcil prendre-li gairebé tot (DNS’s del domini per canviar-les, reset de contrasenyes d’un munt de serveis, etc…). Sort que li va quedar el compte de Twitter per poder endegar una campanya, amb suport popular inclòs, que demostrés que ell era qui deia ser i així poder validar la seva “personalitat digital”.

La història va acabar bé, per sort, gracies a la relació directa d’en Christian amb el personal de gestió del hosting. El que va permetre aturar-ho tot, fins que les coses varen estar resoltes.

El mateix Chirstian explica l’experiència a Foros del Web. Us recomano que la llegiu i també que escolteu la referenciada entrevista que li van fer al Podcast de Blogoff.

A l’enllaç anterior en Christian explica algunes coses que ells van fer malament en relació a la seguretat i als problemes derivats. Us en cito el text literal:

Deshaciertos
– Tener demasiadas cuentas registradas con un solo email. Cuando perdí el acceso a mi dominio, fue muy fácil que empezaran a ganar accesos. De nada sirvió tener una serie de passwords.
– El mismo lunes ibamos a intentar poner a funcionar el foro en otro dominio temporal. Pero debí pedir que los servidores se apagaran de inmediato cuando empecé a ver las dimensiones del ataque. Y seguía dependiendo de servicios anteriores de los que no tenía constancia si habían sido vulnerados de alguna forma.
– Cambié passwords en mi cuenta de Gmail, pero no pensé en todas las formas en que pudieran obtenerla, incluyendo lo del email de emergencia.
– El sueño y la intranquilidad no son buenos amigos para que pienses rápido y actues en consecuencia.

Sense caure en actituds paranoiques hi ha diverses accions bàsiques que tots podem fer per a minimitzar problemes derivats de les situacions anteriorment esmentades augmentant la seguretat pel que fa a la nostra “personalitat digital”.

  1. Fer servir comptes de correu independents per diversos serveis.
  2. Fer servir contrasenyes “hard” (números, lletres, símbols, majúscules i minúscules) diferents per a cada servei.
  3. Canviar de contrasenya cada tant.
  4. Si teniu còpia dels correus en local, esborreu sistemàticament els que tingueu a la web (cas de gmail, per exemple)

Hi ha una aplicació per Mac, de la que ja hem parlat anteriorment, que ajuda a generar i gestionar claus d’accés per als diferents serveis on-line, comptes de correu, etc. Es diu 1Password.

Per desgràcia és de pagament, 40$, però si us preocupa el tema de la “seguretat digital”, preneu-vos-ho com una inversió i no com una despesa.