Il mondo del Web è sempre più attaccato, ancora una volta i dati sensibili come e-mail e password sono stati estrapolati da malintenzionati e resi pubblici.

Milioni di account violati da hacker

Nella scorsa settimana, è stata pubblicata la "Collection #1" dal noto ricercatore Troy Hunt, esperto di sicurezza web australiano noto per l'educazione pubblica e la sensibilizzazione su argomenti di sicurezza. A partire dal 2011, Hunt è stato nominato "Microsoft Most Valuable Professional" (MMVP) in "Developer Security", ed è stato riconosciuto come "Microsoft MVP" dell'Anno nel 2011.Inoltre nel 2016 è stato nominato direttore regionale Microsoft.

Pubblicità

In questa raccolta di dati sono presenti 2.692.818.238 righe di combinazioni di e-mail e password, questi dati sono trapelati da fonti anonime nel popolare servizio di Cloud "MEGA". I file in questione non hanno tardato a fare il giro dei forum frequentati da hacker che hanno reso pubblico tutto il materiale di e-mail e password, più di 12,000 file separati dal peso di oltre 87GB.

Il ricercatore Troy Hunt ha effettuato un lavoro di "pulizia" del materiale che inizialmente era di 2.692.818.238 righe, quindi 1.160.253.228 combinazioni uniche di indirizzi e-mail e password, ma dopo applicazioni di regole e rimozione di dati superficiali, o comunque trascurabili, sono rimasti 772.904.991 indirizzi e-mail univoci e 21.222.975 password uniche.

Le password sono trasmesse "in chiaro" in gergo "dehashed" cioè sono visibili e non sono crittografate (con algoritmo HASH)

Alcuni accorgimenti

Dal web non sono tardati ad arrivare annunci e reclami di sfortunati che hanno trovato i propri dati di accesso all'interno del suddetto elenco di file. Il mondo della IoT (Internet of Things) sta diventando sempre più vasto, ma allo stesso tempo è sempre più vulnerabile. Questo fattore non è quantificabile, dato che i metodi e le strategie di sicurezza esistono, ma tutto è sempre condizionato dall'uso che un utente medio può farne e dalle suo conoscenze in merito.

Pubblicità

Più volte, in diversi articoli e interviste, gli esperti di sicurezza informatica hanno consigliato di utilizzare password complesse, ossia di lunghezza superiore ai 12 caratteri e che contengano numeri e lettere maiuscole, consigliando inoltre di aggiornare saltuariamente la propria password, cambiandola. Un altro metodo per avere una sicurezza in più con la propria password è l'autenticazione a due fattori, ossia divisa in due fasi: identificazione e autenticazione.

Trend Micro ha affermato che "A causa del volume di violazioni dei dati negli anni passati e della presenza dei criminali informatici, riteniamo che potremmo assistere a un'impennata delle transazioni fraudolente utilizzando credenziali ottenute da criminali informatici, proprio da suddette violazioni dei dati"

Cosa si può fare?

Esiste un servizio erogato dal sito Have I Been Pwned , che permette, inserendo il proprio indirizzo email, di sapere se i propri dati sono stati violati.

Questa piattaforma possiede un database di informazioni riguardanti tutte le maggiori violazioni di dati avvenute negli ultimi tempi.

Basta controllare subito se si è stati vittima di questo attacco, e nel caso lo si fosse, non bisogna esitare a modificare la propria password, rispettando per quanto possibile i canoni sopracitati.