Online un database di Elsevier con username e password in chiaro

Elsevier, uno dei maggiori editori in ambito medico-scientifico (pubblica fra le altre cose The Lancet e Cell), ha esposto per errore un database contenente nomi utente e password.

Del problema se ne è accorto Mossab Hussein, CSO di SpiderSilk, entrando successivamente in contatto con il sito Motherboard che ha pubblicato la notizia.

Non è chiaro quanti account siano stati esposti. Secondo il ricercatore che ha scoperto il database la maggior parte erano indirizzi .edu, ovvero studenti e professori nelle università USA. Da notare, e Motherboard lo scrive esplicitamente, che le password erano salvate in chiaro.

L’azienda, dopo essere stata avvertita, ha rimosso l’accesso pubblico al database e ha dichiarato che il problema era dovuto apparentemente a un errore umano. Elsevier ha affermato inoltre che procederà a un reset degli account e che contatterà gli utenti interessati nonché le autorità preposte.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro per ESET, dove ricopro il ruolo di Operations Manager. Il blog è personale.