Anche agli hacker piacciono le collection. Come riportato dal noto ricercatore di sicurezza Troy Hunt sul suo blog, la scorsa settimana è apparso sul popolare servizio di condivisione file Mega un archivio da 87 giga contenente qualcosa come 2.692.818.238 righe. Dopo poche ore, un forum specializzato in hacking ne aveva già estratto e reso più fruibile il contenuto, organizzandolo in directory.

Troy Hunt, che gestisce il sito Hibp dove raccoglie un archivio consultabile delle email apparse in tutti i data breach (violazione di dati) su cui è riuscito a mettere le mani, ha iniziato ad analizzare i dati e ha scoperto che, una volta ripulito, l'archivio conteneva in totale 772.904.991 di indirizzi email e 21.222.975 di password. Numeri importanti, ma meno eclatanti di quanto non si possa pensare. Anche ai criminali piacciono le raccolte di vecchi successi
Collection#1, nome con il quale Hunt ha battezzato questo rilascio di dati, sembra effettivamente essere una raccolta di moltissime data breach diverse. Il numero di file contenuti nell'archivio originale superava i 12mila e il nome di ognuno dava un indizio sulla sua possibile provenienza. Dal momento che i dati sono stati rilasciati senza alcun commento da utenti anonimi, però, non è possibile sapere se davvero siano tutti frutto di data breach o se siano inclusi anche dati provenienti da campagne di hacking dirette a singoli individui. Quello che possiamo fare è guardare con occhio critico a quello che adesso è a disposizione di “tutti”.

I numeri di cui preoccuparsi davvero
Il numero di indirizzi email contenuti nell'archivio è sicuramente enorme, ma l'indirizzo email non è un elemento particolarmente sensibile. Sui nostri biglietti da visita è, ovviamente, riportato perché vogliamo che venga usato per contattarci. Non c'è da sorprenderci, quindi, quando Troy Hunt ci dice che quasi quattro quinti degli indirizzi era già presente nel suo database di HIBP in quanto coinvolto in precedenti furti di dati. “Solo” 140 milioni di indirizzi erano ancora sconosciuti. Meno bene è andata alle password. Degli oltre 20 milioni elencati, ben la metà non era ancora stata vista dal sito di Troy Hunt. Paradossalmente, questa è una buona notizia, perché vuol dire che la metà degli utenti a cui è stata rubata la password non la usava già su altri servizi molto popolari né l'ha scelta seguendo criteri dozzinali.

Quali sono, quindi, i rischi per chi si ritrova coinvolto in questa fuga di dati?
Onestamente, non molti. Il più probabile è quello di cadere vittima di un attacco di credential stuffing, cioè quegli attacchi in cui dei criminali usano le credenziali rubate su molti siti Internet, sperando di trovarne qualcuno su cui l'utente aveva usato la stessa combinazione di username e password. Se abbiamo avuto il buon senso di non usare mai la stessa combinazione di credenziali su più siti internet, non c'è molto da preoccuparci. Altrimenti, andiamo a cambiare le password, magari seguendo la nostra guida alle password ragionevoli. Non vi proteggerà contro attacchi mirati, ma funziona alla grande contro gli attacchi automatici.

Ma c'è qualcuno che potrebbe fare qualcosa di più per proteggerci…
Il grosso problema dei data breach è che espongono i nostri dati in maniera indipendente dal nostro operato. Possiamo esser stati bravi e attenti finché vogliamo nella scelta della password, ma se questa viene rubata dal sito, possiamo farci poco. Chi può fare qualcosa, però, su come questi dati rubati vengono usati sono le aziende che forniscono servizi Internet. Gli attacchi di credential stuffing, infatti, vengono condotti in maniera automatica da server che usano i database rubati per cercare di accedere ai servizi web. Contro questi BOT, come vengono chiamati i programmi che compiono operazioni automatiche, sono disponibili delle difese che poche aziende ancora usano. Se tutti usassero delle tecnologie anti-bot, il problema del furto di credenziali si ridurrebbe moltisimo

© Riproduzione riservata