A metà dicembre è stata scoperta la più grande raccolta di dati rubati della storia, comprendente oltre 770 milioni di indirizzi e-mail e password inviati a un popolare forum di hacking. Il pacchetto di dati da 87 GB è stato scoperto dal ricercatore Troy Hunt, che gestisce il servizio di notifica Have I Been Pwned. Hunt, che ha chiamato la raccolta Collection #1, ha affermato che probabilmente è “costituita da molte e diverse violazioni di dati individuali provenienti da migliaia di fonti diverse”, piuttosto che rappresentare un singolo pacchetto di un furto molto ampio. Mentre la maggior parte degli indirizzi e-mail rilevati in Collection #1 erano già apparsi in precedenti violazioni condivise tra hacker, come i 360 milioni di account MySpace hackerati nel 2008 o i 164 milioni di account LinkedIn hackerati nel 2016, Troy Hunt ha affermato che “c’è qualcosa nell’ordine dei 140 milioni di indirizzi email in questa violazione che HIBP non aveva mai visto prima “. Questi indirizzi di posta elettronica potrebbero derivare da poche grandi violazioni dei dati non segnalate, molte più piccole o una combinazione di entrambi.
Gli esperti di sicurezza hanno affermato che la scoperta di Collection #1 ha sottolineato la necessità per i consumatori di utilizzare i gestori di password, come 1Password o LastPass o Whisper32 , per memorizzare una password univoca e casuale per ogni servizio che utilizzano. “È abbastanza difficile non aver avuto un indirizzo email o altre informazioni personali violate negli ultimi dieci anni”, ha detto Jake Moore, esperto di sicurezza informatica presso ESET UK. Chiunque pensi “a me non succederà”, probabilmente è già stato vittima di una violazione, ma non se ne è accorto. E chiunque metta in dubbio la sicurezza di un gestore di password, non si rende conto del fatto che sono incredibilmente più sicuri da utilizzare rispetto al riutilizzo delle stesse tre password per tutti i propri siti.
Hunt ha avvertito che l’utilizzo principale di un set di dati come quello di di Collection #1 è rappresentato dagli attacchi di “credential stuffing“, che sfruttano proprio il tipo di riutilizzo della password che i gestori di password possono prevenire. “I malintenzionati prendono liste come queste che contengono i nostri indirizzi e-mail e le password, quindi tentano di vedere dove funzionano (Netflix, Facebook o altri account di social media e servizi online)”, ha detto Hunt. “Il successo di questo approccio si basa sul fatto che le persone riutilizzano le stesse credenziali su più servizi. Forse i nostri dati personali sono in questa lista perché ci siamo iscritti a un forum molti anni fa, ma poiché è stato successivamente violato e abbiamo usato la stessa password dappertutto, abbiamo un problema serio.”
La violazione non sembra contenere dati tributari o sulle carte di credito In termini di volume puro, sebbene sia un aggregato di forse centinaia se non migliaia di violazioni, viene considerata la più grande violazione di dati nella storia, seconda solo alle voragini di sicurezza informatica di Yahoo che hanno colpito miliardi di utenti,.
Collection #1 contiene password crittografate che sono state “dehashed” e convertite in testo normale e comprende file che risalgono probabilmente fino al 2008.
Come fare a sapere se il/i nostro/i indirizzo/i email sono compresi nela raccolta? Basta andare su Have I Been Pwned e inserire un indirizzo email per volta. Se al controllo risulta presente nella lista, controllare anche la/le password, inserendole nella interfaccia separata https://haveibeenpwned.com/Passwords. Se anche la password è presente, le nostre credenziali sono pubbliche. Da notare che il servizio di notifica HIBP non pubblica l’elenco degli Username/password mettendoli in relazione (in modo da non offrire una ulteriore fonte di informazioni per malintenzionati), e che sono qui raccolti User e pwd di moltissimi data< bvreach, non solo dell’ultimo Collection #1.. Se ad un controllo una delle credenziali che ci appartengono risulta listata, conviene affrettarsi a cambiare la password. Rimandiamo alla lettura del nostro articolo sulle Peggiori Password del 2018 [ç inserire qui link all’articolo] per dettagli sulla creazione ed utilizzo di password efficienti. Il servizio HIBP può risultare utile anche in seguito, per verificare futuri data breach, in quanto viene costantemente aggiornato. Ovvero, come cambiare regolarmente le proprie password è una azione utile, anche verificare periodicamente se le credenziali utilizzate (username e password) sono pubbliche in seguito ad un data breach è una azione da pianificare.
E. P.