SONO STATE SCOPERTE 25 MILIONI DI CREDENZIALI “VERGINI” CHE NON SAPEVAMO FOSSERO STATE SOTTRATTE
Troy Hunt è il gestore del servizio “Have I Been Pwned?” (HIBP), un sito gratuito che informa se un dato indirizzo e-mail utilizzato per collegarsi a uno o più servizi o siti ha subito un furto di password. Durante l’analisi di una lista di 71 milioni di credenziali sottratte, si è accorto che circa 25 milioni di queste non compaiono in altri elenchi simili quindi si tratta di dati “freschi”, la cui sottrazione non era già nota e che potrebbero essere finiti nelle mani di malintenzionati.
25 MILIONI DI INDIRIZZI MAI VISTI PRIMA SONO “TANTA ROBA”
Hunt ha spiegato che, solitamente, quando un cracker vanta il possesso di un database di credenziali rubate, queste si riferiscono spesso a dati circolanti da molto tempo e infiocchettati al bisogno per piazzare una vendita nel darkweb.
Hunt ha invece scoperto che, sebbene il totale millantato dal cracker fosse di oltre 1 miliardo di record, gli indirizzi e-mail unici della lista erano circa 71 milioni, di cui il 65% già presente sul sito HIBP: per i quali, dunque, è stata già accertata una violazione delle password riferite ad account con quegli indirizzi mail come dato di login.
Restano quindi fuori il 35% dei 71 milioni di indirizzi e-mail, pari a 24,85 milioni.
Secondo l’esperienza di Hunt, pur se riferita all’attività di HIBP, “quando un terzo degli indirizzi e-mail non è mai stato visto prima, si tratta di un dato statisticamente significativo. Non si tratta della solita raccolta di liste riproposte con un fiocco nuovo di zecca e spacciate per the next big thing; si tratta di un volume significativo di nuovi dati”.
LA NATURA DEI DATI RUBATI E I LORO UTILIZZI
I dati sono stati raccolti usano uno stealer, cioè un malware eseguito sul dispositivo della vittima che salva tutti i nomi utente e le password inseriti in una pagina di login. Tra i siti legati al login con le credenziali sottratte compaiono anche piattaforme note come Facebook, Coinbase, eBay e Roblox.
Sebbene nella lista siano presenti anche password forti, quello che emerge dall’analisi di Hunt è che, come spesso accade, ci sono tante password deboli.
Esaminando tutte le password collezionate da HIBP e raffrontandole con quelle della lista sotto analisi – comprese quelle abbinate allo stesso indirizzo e-mail – sono presenti 100 milioni di password uniche che però sono già presenti 1,3 miliardi di volte nel database di HIBP.
A questa corrispondenza si arriva facilmente se tra le mail usate compaiono valori come “jasonjason” o “Jeremy02”.
LA RISPOSTA E I CONSIGLI DI HIBP
Hunt ha approfittato della lista pubblicata dal cracker per aggiornare il database di HIBP, quindi consiglia di visitare il sito per verificare se il proprio indirizzo e-mail o le password utilizzate siano state violate.
HIBP dice di non collegare indirizzi, password e siti riferiti a un unico record, ma crea elenchi separati consultabili in modo indipendente e che quindi non possono risalire a uno specifico login.
CONCLUSIONE
La scoperta di 25 milioni di credenziali “vergini” rubate è un avvertimento per tutti gli utenti di internet. La Sicurezza informatica è sempre stata una sfida e, con il crescente numero di minacce online, diventa sempre più urgente proteggere i nostri dati personali.
La collaborazione tra servizi come “Have I Been Pwned?” e gli utenti stessi è essenziale per contrastare le violazioni della sicurezza e prevenire il furto di informazioni sensibili. Bisogna essere consapevoli dei rischi e adottare misure di sicurezza adeguate per proteggere la propria identità online.