skip to main | skip to sidebar
4 commenti

Cinque milioni di password rubate? Niente panico

Tranquilli. Non c'è stato nessun "attacco a Google" da parte di hacker cattivi. Come già accennato qualche giorno fa, è in circolazione un file contenente nomi di utenti e password riguardanti circa 4,9 milioni di account di Google e numerosi account di Yandex.ru, Yahoo, Hotmail e altri fornitori di caselle di mail e servizi online. Ma si tratta in gran parte di dati vecchi e non aggiornati, che a detta di Google non provengono da una violazione dei suoi server e non permettono di violare gli account: solo il due percento degli account elencati riporta la password corrente e molti di questi sarebbero stati protetti comunque dagli altri sistemi antifrode di Google.

Sono in circolazione anche altre collezioni di account rubati: si parla di 4,7 milioni di nomi utenti e password di Mail.ru e Yandex.ru, ma anche in questo caso i dati sono obsoleti. Probabilmente si tratta di dati raccolti nel corso di mesi o anni usando tecniche classiche di phishing, ma non di un attacco sistematico in corso ai danni di questi grandi nomi di Internet.

Intorno a queste fughe di dati nascono spesso siti che promettono di verificare se il vostro indirizzo è fra quelli presenti nelle collezioni, come è successo in questo caso con Isleaked.com, o addirittura di verificare la qualità delle vostre password. In generale non è il caso di fidarsi e di immettervi i propri dati: Isleaked, per esempio, è sospettato di collezionare gli indirizzi immessi per fare spamming. Immettere in un sito la propria password per provarne la robustezza è sconsigliabile, perché molti siti sono capaci di recuperare il vostro indirizzo di mail e quindi associarlo alla password.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (4)
isleaked permette di inserire il proprio indirizzo e-mail con dei jolly character, ed è scritto bello grande in home. Credo siano in buona fede.
Certo però che aprire un file con 5 milioni di righe di testo è dura se non si ha un software di compilazione.

Io ho usato un editor ISO che l'ha aperto in tre secondi.
Sul mio indirizzo gmail che è nell'elenco, sabato ho ricevuto un messaggio che mi avvertiva "Your IMDb password has been changed". Ma io non l'avevo cambiata e neppure mi ricordavo di essermi iscritto a IMDB, che consulto ogni tanto senza fare il login. Ho verificato con 1Password, e anche in una agenda cartacea, e ho trovato che su IMDB effettivamente mi ero iscritto anni fa proprio con quell'indirizzo e la password le cui prime due lettere comparivano usando Isleaked.com
Quindi qualcuno ha usato il mio indirizzo Gmail e la vecchia password che compare in quell'elenco.

Col link fornito nel messaggio di IMDB ho cambiato la pass in IMDb, poi ho controllato nel database di 1Password in quali altri siti anni fa avessi usato quella combinazione di email/pass e ne ho trovati altri due, sempre di nessuna importanza. Quell'indirizzo Gmail infatti lo uso solo per account di siti non "sensibili", dove non inserisco nessun dato importante. Più di recente, ma sempre molti anni fa, ne ho attivato un altro ancora meno personale perché non contiene il cognome, e adesso uso quello (lo stesso dal quale sto scrivendo adesso).

Però mi ha colpito il fatto che qualcuno possa aver provato ad accedere a un sito in cui mi ero iscritto, con quell'indirizzo e quella password compresi nell'elenco di 5 milioni. Le probabilità di trovare un indirizzo/pass funzionante su un sito come IMDb le avrei ritenute bassissime.
P.S. un minuto dopo aver scritto il messaggio precedente ho controllato bene il messaggio dal titolo "Your IMDb password has been changed" e nel testo leggo "As part of our routine monitoring, we discovered a list of email address and password sets posted online. While the list was not IMDb-related, we know that many customers reuse their passwords on several websites. We believe your email address and password set was on that list. So we have taken the precaution of resetting your IMDb.com password."

Quindi è stata una loro precauzione, e nessuno ha tentato di entrare con il mio account. Ottimo servizio, IMDb.