È stato scoperto uno dei database di password rubate più grosso dell’ultimo periodo: a quanto pare è in circolazione su un noto forum di hacker da almeno quattro mesi, e include quasi 71 milioni di credenziali uniche, tra cui soprattutto 25 milioni di password che non erano mai state violate prima.
Il data dump è stato segnalato da Troy Hunt, esperto di cybersicurezza e hacker white hat che ha fondato e gestisce il famoso sito Have I Been Pwned?, tramite il quale è possibile verificare se i propri account sono stati compromessi (il sito sostanzialmente colleziona e organizza tutti i data dump su cui Hunt riesce a mettere le mani). Riassumiamo le principali caratteristiche del database:
- 319 file per un totale di circa 109 GB di dati
- 70.840.771 indirizzi email unici
- 427.308 utenti abbonati a Have I Been Pwned coinvolti
- 65,03% degli indirizzi trapelati già facevano parte del database di Have I Been Pwned (dato ricavato basandosi su un campione di 1.000 indirizzi)
Secondo Hunt, il fatto che almeno un indirizzo su tre non fosse mai trapelato in precedenza è il principale indicatore della qualità di questo nuovo database. Nella maggior parte dei casi, i data dump contengono per lo più informazioni ridondanti e obsolete. Più vecchio è un account compromesso, più alte sono le possibilità che l’utente coinvolto si sia protetto (anche dietro obbligo del servizio, per esempio).
Hunt dice che il database include credenziali per svariati siti; tra i più grossi e diffusi troviamo Facebook, Roblox, Coinbase, Yammer e Yahoo!. A quanto pare le informazioni sono state rubate tramite “stealer” (malware che viene installato sul dispositivo della vittima e riesce a carpire i dati quando l’utente li immette). Purtroppo è emerso anche questa volta che molti continuano a usare la stessa password per più servizi; anche se di per sé ha un buon livello di sicurezza (per esempio è lunga, include caratteri speciali e non è una parola che si trova nel dizionario), se trapela per un servizio trapela automaticamente per tutti quanti.
Nell’attesa che le passkey diventino ancora più diffuse e ci permettano finalmente di abbandonare le password, vale la pena ricordare qualche buona norma: verificare che il sito a cui si cerca di accedere sia legittimo e non sia un tentativo di frode/truffa, usare password lunghe, con caratteri speciali e sempre diverse per ogni servizio, avvalendosi di password manager per ricordarle tutte, e cercare di usare il più spesso possibile l’autenticazione a due fattori. Infine, è bene fare un controllo ogni tanto proprio su siti come Have I Been Pwned; se un account è stato compromesso è bene cambiare quanto prima la password.