I ricercatori lanciano l’allarme sull’ennesima “mega-breccia” con tanto di vendita di centinaia di milioni di account in rete. Ma non è necessario abbandonarsi al panico: i dati sono vecchi e i sistemi di verifica (anche a posteriori) prontamente disponibili.
Il ricercatore di sicurezza Troy Hunt ha in queste ore reso nota l’esistenza di una nuova, massiccia raccolta di dati personali che circola liberamente sui forum frequentati da hacker e cyber-criminali, una collezione che il ricercatore ha chiamato “Collection #1” e al cui interno sono presenti 773 milioni di e-mail e 21 milioni di password “uniche”.
Hunt dice di aver verificato la veridicità dei dati di Collection #1 in prima persona, visto che la raccolta include anche e-mail e password che il ricercatore usava “molti anni fa”. La minaccia di Collection #1 alla sicurezza degli utenti è insomma reale, con i suoi 12.000 file (per 87GB totali) ripieni di informazioni potenzialmente sfruttabili per violare account, imbastire campagne cyber-criminali a base di ingegneria sociale e chissà cos’altro.
Collection #1 rappresenta la più grave breccia di sicurezza dai tempi dell’attacco contro Yahoo!, ed è il risultato dell’aggregazione di 2.000 diversi database di password il cui schema di hashing (un sistema di sicurezza aggiuntivo che dovrebbe proteggere la confidenzialità delle password originali) è stato violato. Non stupisce, dunque, che in queste ore qualsiasi sito Web, quotidiano o telegiornale parli di un mega-attacco in grado di mettere a rischio la sicurezza di quasi un miliardo di persone.
Al di là dei titoli sensazionalistici, comunque, i rischi connessi a Collection #1 sono meno apocalittici di quanto possa sembrare: come verificato da Brian Krebs, che tra l’altro è riuscito a entrare in contatto con il broker dei dati su Telegram (dove si fa chiamare “Sanixer”), i dati della nuova mega-breccia risalgono ad almeno due, tre anni fa. E’ anche per questo che Sanixer offre l’accesso alle informazioni al prezzo decisamente abbordabile di $45, mentre gli altri archivi a disposizione dei potenziali acquirenti includono dati molto più recenti per un totale di quasi 1 Terabyte di account compromessi.
Niente panico
In ogni caso, come spiegato in precedenza non è necessario andare in panico: l’età un po’ stagionata degli account di Collection #1 riduce in maniera sensibile la possibilità che le informazioni vengano adoperate con successo dai cyber-criminali. Hunt ha già aggiunto il database a Have I Been Pwned, servizio Web che è possibile usare per verificare la presenza di una nostra mail tra gli account potenzialmente compromessi.
Anche nel caso in cui la nostra e-mail risultasse presente nel database, comunque, non c’è alcuna ragione di pensare subito al peggio: magari l’e-mail era stata utilizzata per registrare un account su un sito esterno, e se facciamo attenzione a usare sempre password diverse per diversi siti Web la violazione di quel sito esterno non mette automaticamente a rischio la nostra casella di posta.
Volendo aumentare ulteriormente il nostro livello di sicurezza, possiamo modificare la password delle nostre e-mail usando un generatore di chiavi di accesso casuali e magari registrarci sul sito Have I Been Pwned per ricevere una notifica su eventuali brecce future. Lo stesso servizio di notifica di sicurezza viene infine offerto da Mozilla tramite il sito Firefox Monitor.