AGI: Cambiate le password, Collection #1 è il più grande furto di email della storia

Cambiate le password, Collection #1 è il più grande furto di email della storia

Un esperto ha scoperto 773 milioni di email in giro nel cyberspace e 140 milioni non erano mai state raccolte prima. Potrebbero essere usate per operazioni di phishing e furto di identità. Il consiglio è di rafforzare subito le proprie difese

di ARTURO DI CORINTO per AGI del 17 Gennaio 2019

I numeri sono da capogiro: nel bottino di email e password appena scoperto stavolta ci sono 773 milioni di indirizzi web e 22 milioni di password uniche. È stato chiamato Collection #1 e già il nome lascia intendere che ne esistono versioni successive col nome di Collection #2, Collection #3 eccetera.

A darne la notizia per primo su Twitter è stato Odisseus, un esperto italiano di cybersecurity, ma a scoprire l’archivio è stato Troy Hunt, il ricercatore  informatico autore del sito Have I been pwned (“sono stato bucato”) che da anni conserva il risultato di successivi furti di dati ai danni di Yahoo!, Facebook, Twitter, Adobe, YouPorn e via dicendo. Secondo Hunt, Collection #1 è “il più grande databreach mai caricato sul sito.”

Antipublic, un data leak da 17 Giga e 450 milioni di indirizzi mail da tutto il mondo, scoperto nel maggio 2017, ne contiene poco più della metà.

Una prima analisi delle email messe a disposizione dal ricercatore suggerisce che l’enorme archivio sia il frutto di successivi databreach ai danni di singoli privati, siti e organizzazioni commerciali.

Molti dei domini coinvolti finiscono con il .com e altrettanti sono quelli legati a siti porno, social network, portafogli bitcoin. Le password associate invece sono sia in formato crittografico che nella loro versione in chiaro. Molte email risultano presenti in altri databreach ma, facendo una comparazione automatizzata fra le email già raccolte dal suo sito e quelle appena scoperte, lo stesso Troy Hunt sostiene che “ci sono 140 milioni di email che non erano mai state caricate prima” nel suo database e lo stesso vale per la metà delle password, 10 milioni circa di password “nuove”.

Il ricercatore sostiene di essere giunto a conoscenza dell’archivio dopo averne trovato uno, molto più piccolo di 87 giga, sul sito di hosting Mega, da cui sarebbe stato successivamente rimosso. Ma proprio da lì era partito alla ricerca che l’ha portato in possesso della montagna di dati che ammonta a 1 terabyte di dati (equivalente a 1400 cd rom o 40 disc blu ray).

Secondo Sergey Lozhkin, del team di ricerca Great del Kaspersky Lab: “La cosa più preoccupante è che tutti questi dati, ottenuti attraverso varie violazioni, possono essere facilmente trasformati in un unico elenco di indirizzi email e password: tutto quello che i cybercriminali avrebbero bisogno di fare, quindi, è creare un software piuttosto semplice e verificare così l’effettivo funzionamento di quelle stesse password. Per azioni di phishing, fino ad attacchi mirati per il furto di identità digitali, la sottrazione di denaro o la compromissione dei dati sui social network.”

Oltre all’ovvio consiglio di cambiare le password, sostituendole con altre più robuste e complicate, quello che si può intanto fare è verificare se il proprio indirizzo email sia presente nel mucchio  usando Have I been pwned. Digitando un indirizzo all’interno della maschera di ricerca del sito si può vedere se la propria email è stata compromessa e se è apparsa su qualche pastebin, le “lavagne bianche” temporanee che gli sviluppatori usano per comunicare in via anonima e veloce e dove anche gli Anonymous pubblicano le “prove” delle loro incursioni.

Gli utenti registrati al sito di Hunt possono anche verificare se la propria email sia stata oggetto di databreach che hanno ottenuto dati “sensibili”, oppure fare una verifica simile per la propria password con il motore di ricerca Password pwned, sempre di Troy Hunt, che ne contiene 551 milioni.

Se si trova la propria password è bene perciò aggiungere un ulteriore livello di sicurezza alla propria casella email attivando la doppia autenticazione laddove sia possibile, facendo anche attenzione a eventuali email “strane” già nei prossimi giorni e incrociare le dita in segno di scongiuro.