È probabilmente il più grande archivio di e-mail e password rubate nella storia: 87 GigaByte con più di 12.000 file, in cui sono raccolti 773 milioni di indirizzi e-mail e quasi 22 milioni di password. Si chiama Collection #1, ed è stata scoperta da Troy Hunt, un esperto in sicurezza a capo del sito ‘haveibeenpwned’ (‘Sono stato compromesso?’) con il quale si può verificare se i propri account siano stati compromessi. Sebbene i dati provengano da diverse violazioni avvenute nel corso degli ultimi anni, la notizia riaccende l’allarme sulla necessità di cambiare le password delle proprie caselle di posta elettronica con una certa frequenza. Anche perché il nome stesso, Collection #1, fa presagire che si possano in futuro scoprire collezioni #2, #3, e così via.
In Italia, la notizia è stata diffusa su Twitter dall’utente @_odisseus, esperto italiano di cybersecurity, e ripresa poi da un articolo di Arturo Di Corinto per Agi.
It seems that available somewhere there is a package of almost 1 TB of passwords…
cc: @securityaffairs @arturodicorinto @GranetMan @EPietrafesa @guelfoweb pic.twitter.com/0uG4P2v6Yc— Odisseus (@_odisseus) 17 gennaio 2019
In realtà i numeri riportati da Hunt sul proprio sito, non rappresentano la reale portata del fenomeno, visto che sono stati ripuliti da doppioni e file inutilizzabili. I dati grezzi parlano di circa 2,7 miliardi di indirizzi mail e password, fra cui un miliardo di e-mail e relativi password combinati. Questa lunghissima lista, come ha spiegato lo stesso Troy Hunt, nasce dall’unione di elenchi minori ed è stata resa disponibile da sconosciuti tramite il sito di file sharing Mega.
Time to first go fuck yourself (TTFGFY) – 6 hours, 55 mins: https://t.co/GBhEHFrFpX
— Troy Hunt (@troyhunt) 17 gennaio 2019
“Sembra una collezione completamente casuale di siti, fatta esclusivamente per massimizzare il numero di credenziali accessibili agli hacker. Non c’è uno schema, solo la ricerca di massima esposizione”, ha dichiarato, a Wired, Troy Hunt, che sul suo blog ha ricordato come abbia messo a disposizione non solo un servizio di verifica partendo dall’account, ma anche delle password stesse. In questo modo si può sapere se la password che si utilizza, o che si vuole utilizzare, sia stata già in passato inclusa in qualche ‘data breach’.
Questo è un punto fondamentale se si considera che molti usano la stessa parola d’ordine per molteplici account, dalla posta ai social: se un hacker ha a disposizione una password collegata a un singolo account di una persona, può usarla per entrare anche negli altri, ad esempio i social, e rubare dati personali.
