Troy Hunt, consulente di sicurezza Web australiano noto per aver creato (ed essere il gestore) del servizio gratuito Have I Been Pwned (HIBP, servizio che aiuta le persone a verificare se le loro informazioni personali siano state compromesse a seguito di violazione dei dati), ha annunciato l’indicizzazione di una enorme quantità di dati sul portale.
Il set di dati, denominato “Synthient Credential Stuffing Threat Data”, include un numero sbalorditivo di credenziali compromesse tra cui rientrano: circa due miliardi di indirizzi e-mail, oltre un miliardo di password (di cui 625 milioni mai viste prima dal servizio). Andiamo a scoprire maggiori dettagli e cosa è possibile fare per tutelarsi.
Indice:
HIBP ha indicizzato un set enorme di credenziali compromesse
Come anticipato in apertura, sulla piattaforma Have I Been Pwned (che per comodità chiameremo HIBP d’ora in avanti) sono stati indicizzati oltre due miliardi di indirizzi e-mail e oltre un miliardo di password con quello che è stato il set di dati più esteso mai elaborato dalla piattaforma (tre volte più grande del precedente “record”).
L’elaborazione è stata un’operazione lunga e dispendiosa: HIBP ha dovuto ottimizzare in modo complesso gli indici di SQL Server e massimizzare le risorse cloud per quasi due settimane; questa elaborazione non ha comunque bloccato il resto dei servizi offerti dalla piattaforma, che fornisce notifiche a oltre 5,9 milioni di abbonati (di cui 2,9 milioni presenti nella violazione appena indicizzata).
Da dove provengono questi dati
I dati del set “Synthient Credential Stuffing Threat Data” provengono da:
- Liste di credential stuffing – un tipo di attacco informatico automatizzato in cui i malintenzionati sfruttano bot per tentare di accedere continuamente a un sito Web con credenziali acquistate dal Dark Web, facendo leva sul fatto che molti utenti tendono a riutilizzare la stessa password su più account.
- Log di stealer malwer – pacchetti di dati che contengono informazioni sensibili (come credenziali di accesso, dati finanziari, informazioni sul sistema e altri dati sensibili) rubate da dispositivi infetti tramite malware.
Tra i dati anche password “forti”
Prima di divulgare questa enorme indicizzazione sulla piattaforma HBIP, che annovera un sacco di dati non presenti in precedenza, il consulente ha condotto alcune verifiche con credenziali che lo riguardavano direttamente: ad esempio, Hunt ha trovato un suo vecchio indirizzo e-mail e una password associata ad esso ma, per fortuna, si trattava di una password molto vecchia.
Estendendo le verifiche sui suoi abbonati, Hunt ha poi scoperto che i dati indicizzati includono: password vecchie (anche di 10 o 20 anni fa), password attive e critiche (quelle vecchie ma ancora usate, anche solo su alcuni account con la stessa mail, dagli utenti), password forti (nonostante rispettassero alcuni criteri di complessità, ad esempio 8 caratteri con maiuscole, minuscole, numeri e caratteri speciali).
La violazione non proviene da Gmail
Per evitare la diffusione di false notizie, il consulente ha voluto chiarire che questa violazione di dati non è in alcun modo una falla di sicurezza di Google o di Gmail: nel set di dati indicizzati su HIBP sono presenti 32 milioni di domini di posta elettronica diversi (con il più grande che include 394 milioni di indirizzi unici).
Questo significa che l’80% dei dati indicizzati non ha a che fare con Gmail e che il restante 20% è il risultato di un’infezione da malware presa dalle varie vittime; Google e la sua sicurezza non c’entrano nulla.
Cosa possono fare gli utenti per proteggersi?
Uno degli aspetti più pericolosi di questo set di dati indicizzato da HIBP è dato dal fatto che gli utenti tendono a utilizzare la stessa password su più piattaforme.
I dati di una violazione possono essere utilizzati (da chiunque ne entri in possesso in maniera illegittima) per acedere ad account completamente non correlati come account per gli e-commerce, account dei social network o altri indirizzi e-mail della stessa persona.
Tutti gli indirizzi e-mail e le password compromesse sono ora ricercabili sulla piattaforma (tramite questa pagina di ricerca). Potrete quindi verificare voi stessi se le vostre credenziali siano o meno state sposte.
Chiudiamo sottolineando l’importanza di due accorgimenti: cambiare spesso le password e usare password diverse per ogni account. Per fare ancora meglio, è possibile utilizzare i gestori delle password, affidando loro il compito di generare password uniche e sicure per ogni account, passare alle passkey e attivare l’autenticazione a più fattori ove disponibile.