Maxi furto di mail, conviene cambiare subito la password!

Il più grande furto di email e password della storia, milioni di password salvate in un DB battezzato Collection #1

 

Un attacco hacker da far paura: 773 milioni di mail e 22 milioni di password hackerate e archiviate in circa 12mila file. Ma come scoprire se il nostro account è stato violato? A mettere a disposizione un ottimo strumento per saperlo, gratuito e online, è Troy Hunt, il ricercatore informatico che ha scoperto l’archivio. Sul suo sito “Have I been pwned”  («Sono stato bucato?»)  basta inserire il proprio indirizzo mail per verificare se è stato compromesso e, in tal caso, procedere alla sua messa in sicurezza.

Se il messaggio restituito è “Oh no — pwned!”  significa che l’indirizzo email è stato violato ed è necessario procedere immediatamente al cambio della password. Altrimenti, comparirà il messaggio “Good news…”.

Che cosa è successo davvero con Collection1?

 Il commento di Umberto Rapetto, Generale (ris.) della Guardia di Finanza, già comandante del GAT Nucleo Speciale Frodi Telematiche:

“Chi indica la luna non può sperare che l’interlocutore non soffermi la sua attenzione sulla punta del dito.

Serpeggia il timor panico per la diffusione di milioni di password “vintage” e la gente corre a cercar rimedi per parole chiave rubate già nel 2015 (e quindi potenzialmente utilizzate fraudolentemente da più di tre anni).

La notizia di “Collection #1” ha dato voce a chi l’altro ieri si è svegliato esperto di cyber security, forse in preda alla simpatica “sindrome dell’avvocato Giangiacomo Pignacorelli”. A chi si domanda di quale patologia si tratti, la risposta è nelle immortali sequenze di “Troppo forte” di Carlo Verdone, in cui un sempre esilarante Alberto Sordi si esibisce in una arringa difensiva durante la quale perde il senno, per poi svegliarsi il giorno dopo ballerino di danza classica.

La sensazione di pericolo, alimentata da un disordinato vocìo incardinato sulle centinaia di milioni di mail e di password finite (da tempo) nelle mani sbagliate, ha indotto la vasta platea di utenti a visitare un sito in grado di dire se un determinato indirizzo era nella sfortunata lista dei depredati.

I soggetti che si sono rivolti a “Have I been pwned” hanno così contribuito ad arricchire il database di quel sito, che ha potuto abbinare il numero IP del visitatore alla (o alle) mail il cui indirizzo è stato indicato per conoscerne la sorte. In tal maniera chi aveva caselle di posta elettronica più o meno segrete (o comunque alternative) ha dato piena trasparenza sulla eventuali doppie o triple identità a disposizione.

Quelli che invece hanno scelto di verificare se una password è più o meno solida – utilizzando l’opportunità di misurarne la robustezza messa a disposizione dal medesimo (o da altri) sito web – ha compiuto un altro passo sbagliato.

Infatti il giochino della raccolta e dell’incrocio dei dati funziona anche qui. La parola chiave viene abbinata all’IP e alle e-mail: difficilmente l’utente digita una seqienza a casaccio e quindi quella combinazione può essere effettivamente la propria password o qualcosa di molto simile per composizione, sintassi o impostazione. Dall’altra parte di Internet quel che è stato inserito nelle diverse opzioni di consultazione del sito viene memorizzato, archiviato ed elaborato. Il risultato? Semplice. L’operazione di riscontro ha indebolito ulteriormente la riservatezza di chi andava a caccia di una possibilità di maggior tutela.

Chiunque adopera strumenti tecnologici sa di dover correre ai ripari e una frequente sostituzione delle password è senza dubbio una buona idea. Il cambiare sovente la parola chiave attutisce le conseguenze dei “data breach”, ovvero quelle operazioni con cui gli hacker – aperta una breccia nelle difese dei grandi sistemi informatici – saccheggiano in un colpo solo milioni di credenziali a chi conserva i dati di clienti ed utenti dei propri servizi online.

Se il proprio account rientra nella massa sottratta dai banditi, ma abbiamo avuto cura di procedere ad un “cambio password” ripetuto e ben serrato nel tempo, non c’è nulla da temere. La chiave che ci è stata sottratta sarà “vecchia” e non funzionerà più con la serratura virtuale che i malintenzionati speravano di aprire perché la combinazione alfanumerica è mutata nel frattempo (e magari più di una volta).

“Keep calm” è scritto su una valanga di gadget turistici londinesi. Sì, rilassiamoci e cerchiamo di diluire questa tensione semplicemente modificando le nostre abitudini.

È la storia della mela al giorno che toglie il medico di torno.

Invece di avere picchi di terrore ad ogni singolo allarme, proviamo a ricordarci costantemente che l’adozione e il rispetto di piccole precauzioni possono prevenire brutte sorprese.”

Umberto Rapetto

Generale (ris.) della Guardia di Finanza – già comandante del GAT Nucleo Speciale Frodi Telematiche
Docente universitario, giornalista e scrittore
CEO @ HKAO Human Knowledge As Opportunity
Consigliere di amministrazione di Olidata con delega alla cybersecurity

 

Condividi per favore sui tuoi social preferiti

CEO e founder di NexWeb.it è l'ideatore di Cerignolaonline.it

Autore dell'articolo: Antonio Dilorenzo

CEO e founder di NexWeb.it è l'ideatore di Cerignolaonline.it

Lascia un commento