Circa 87 gigabyte di materiale disposto su oltre 12mila file, un’enorme archivio di dati di accesso rubati dai pirati informatici, composto da oltre 773 milioni di indirizzi e-mail e quasi 22 milioni di password. Lo ha reso noto su twitter l’esperto di cyber-security Troy Hunt, che coordina “Have I been Powned?”, un servizio che consente agli utenti di verificare se le proprie credenziali di accesso a diversi servizi online siano stati compromessi dai criminali informatici, battezzandola “Collection#1“.
Cos’è nel dettaglio?
Anche se il nome riporta ad una collection musicale anni ’80, si tratta di un lungo elenco di combinazioni username/password, che i “soliti malintenzionati” hanno raccolto durante svariate violazioni di sicurezza avvenute nel tempo. L’elenco è composto di oltre 2,7 miliardi di linee, per un totale di oltre 1 miliardo e 160 milioni di combinazioni username/password uniche, oltre 773 milioni di indirizzi email unici e circa 21 milioni di password uniche.
La lista è stata condivisa sul servizio di cloud-sharing MEGA. Successivamente sarebbe stata rimossa, ma le informazioni sono comunque già state pubblicate su un forum di hacking, ed all’interno della lista vi sono informazioni provenienti da violazioni note, ma non è da escludere la presenza di elementi attribuiti erroneamente a servizi o siti che non sono mai state coinvolte in incidenti di sicurezza. In totale, comunque, sarebbero circa 2890 i siti/servizi da cui provengono le combinazioni username/password.
Quello che rimane certo è che la violazione meno recente identificabile con ragionevole certezza è quella del servizio 000webhost, avvenuta nel 2015, ma non mancano gli elementi che portano a pensare oltre ogni ragionevole dubbio che sia presente materiale risalente al 2008, insieme a dati facenti parte di “bottini” raccolti durante le scorrerie avvenute in momenti diversi, senza escludere pochi mesi fa. Violazioni che sono rimaste nell’ombra e mai salite alla ribalta dei media.
Cosa è possibile fare?
Purtroppo ormai è quasi impossibile correre ai ripari se i propri dati sono finiti nel grande calderone della rete. Il consiglio migliore, pertanto, rimane quello di verificare la presenza della propria mail sul sito messo a disposizione da Troy Hunt al link riportato qui e cambiare IMMEDIATAMENTE la password utilizzando un password generator, per generare una password complessa, (usatelo SOLO come indicazione, i software utilizzano sempre delle tabelle o dei parametri che è possibile intercettare e de-compilare per comprendere quale possa essere la password) possibilmente alfanumerica di oltre 10 caratteri e ricordare che è buona norma non utilizzare la stessa password per più servizi, soprattutto se si tratta di profili legati a carte di credito e dati sensibili e per incrementare ulteriormente la sicurezza si può ricorrere ad un gestore di password, in modo da non dover ricordare tutte le chiavi di accesso utilizzate nei vari siti/servizi.
E voi? Siete stati colpiti?
