Qualche tempo fa avevamo accennato qui alla possibilità di controllare se le nostre password ed e-mail si trovavano o meno in pericolo attraverso l’utilizzo della piattaforma Have I been pwned?
Quest’oggi il traffico verso il post dedicato all’argomento ha avuto un picco di visite ingente e non è un caso: il fondatore del sito, Troy Hunt, ha rivelato l’esistenza di un archivio denominato Collection #1 contenente indirizzi e-mail e password per un totale di 2.692.818.238 righe di cui
1,160,253,228 risultano essere unici e collezionati nel corso degli anni (probabilmente a partire dal 2008) e proveniente da diverse fonti. Qui possiamo dare un’occhiata alla lista dei database, più di 2000, che sono stati hackerati per raccogliere tutti i dati e “gettarli nel calderone”. Questi sono dei dati piuttosto preoccupanti e fanno di questo data breach il più grande fin’ora conosciuto.
Al momento è possibile accedere a Have I been pwned e controllare utilizzando l’apposita ricerca se, effettivamente, le nostre e-mail (qui) e password (qui) fanno parte di questo data breach o meno. Come possiamo notare dall’immagine sottostante, nel caso per esempio una nostra password fosse presente in una violazione dei dati nota come Collection #1 il sito ci avvertirà con la dicitura “oh no – pwned!” (oh no – fregato!) e la schermata rossa (nel caso fosse verde potremo dirci relativamente tranquilli perché la nostra password non è stata rivelata, o comunque non fa parte degli archivi noti). Nell’immagine quindi vediamo che la password da noi inserita, che altro non è che la semplice parola inglese “cookie” cioè biscotto, è stata “intelligentemente” usata 187630 volte da diverse persone.
Per permetterci tutto ciò Troy Hunt ha dovuto, in questi giorni, fare un lavoro certosino di pulizia dei dati poiché risultanti da una sorta di magma grezzo presente on-line ed alla portata di chiunque. Questo perché alcuni hacker non sono interessati ad ordinare i dati, utilizzare le stesse estensioni per i file e rendere il tutto facilmente consultabile, ma solamente a collezionarli, oppure semplicemente ad esporre il loro operato: così tutti i dati recuperati finiscono senza un criterio in un calderone che per essere scremato e ripulito necessita tempo e pazienza. Inoltre e molto probabilmente tutti i dati messi a disposizione della massa provengono anche da violazioni di anni addietro e facenti parti di una compravendita dati che, ovviamente, oramai non ha più motivo di restare nell’ombra.
MEGA è un cloud storage, ovvero un archivio on-line, dove Collection #1 era stato caricato, dopodiché era apparso in un noto forum di hacking alla mercé di chiunque avesse voglia di dargli un’occhiata; logicamente, dopo la rivelazione dell’esistenza di questa collezione di 87 GB e composta da più di 12000 files separati, la stessa è stata rimossa.
Persino alcune vecchie e-mail e password dello stesso Troy Hunt da lui non più utilizzate da tempo si trovavano su Collection #1.
Ma, quindi, cosa fare se la nostra e-mail o password è finita in questa lunga lista alla portata di tutti? Per quanto riguarda la prima sarà difficile modificarla, per questo, l’unica cosa da fare sarà fare attenzione a tutte le possibili e-mail spazzatura che ci inizieranno ad invadere la casella (fortunatamente molte di queste hanno un buon sistema contro lo spam che sposta automaticamente le e-mail sospette in una cartella a parte). Nel caso della password logicamente dovremo subito modificarla, sul come ne abbiamo estensivamente parlato qui: una bella password alfanumerica con caratteri speciali sarebbe l’ideale e per fare questo ci sono alcuni programmi ed applicazioni per lo smartphone che ci aiutano nel generare e creare un archivio di password di questo genere come, per esempio, LastPass o KeePass. Altra nuova app interessante che non abbiamo ancora provato, ma lo faremo nel prossimo futuro, è 1password che è stata, con la collaborazione di Troy Hunt, direttamente collegata a Have I Been Pwned così da permettere all’utente di controllare la propria password in sicurezza.
Altra opzione che possiamo utilizzare è richiedere la notifica via e-mail di possibili violazioni di dati per tenerci sempre aggiornati.
C’è un “ma” in tutto questo discorso, motivo per cui si richiede all’utente di cambiare spesso la propria password, e cioè il fatto che per quanto essa possa essere lunga e randomica non sarà mai completamente al sicuro se è avvenuto un data breach in una banca dati.
Perché quindi usare tutte queste contromisure? Perché la violazione dati spesso avviene proprio per una falla nella sicurezza proveniente da un errore umano, come per esempio l’uso di password molto semplici per permettere al proprio personale di accedere ai computer facilmente: sensibilizzarci e renderci più consci dei rischi è l’unica soluzione soluzione per iniziare a tutelare i nostri ed altrui dati sensibili.