Cerca nel blog

2019/01/17

773 milioni di account rubati e messi online. Compreso (forse) uno mio. Ma quale?

Ultimo aggiornamento: 2019/01/17 23:30.

Il ricercatore di sicurezza Troy Hunt, noto per il suo servizio di allerta Have I Been Pwned, ha segnalato l’esistenza di un archivio, circolante in Rete, di circa 773 milioni di indirizzi di mail con relative password. Se volete sapere se il vostro indirizzo è in questo archivio, digitatelo (l’indirizzo, non la password) nella casella apposita di HIBP.

Attenzione: se il vostro indirizzo di mail risulta nell’archivio, non vuol dire necessariamente che è stato violato il vostro account di mail: vuol dire che è stato compromesso uno dei servizi ai quali vi siete iscritti usando quell’indirizzo.

La questione mi tocca personalmente, perché ho ricevuto anch’io un avviso da HIBP (screenshot qui accanto), visto che sono iscritto al suo servizio di allerta.

Il problema è che per quel che ho capito leggendo lo spiegone di Troy Hunt, HIBP non mi dice quale dei miei tanti account per servizi online che ho associato a quell’indirizzo di mail è stato violato.

Ho password differenti e molto robuste per ogni servizio, e ho l’autenticazione a due fattori dappertutto; può darsi che sia un falso allarme e l’archivio contenga dati vecchi (come è successo anche a Troy Hunt) o farlocchi per farne aumentare il volume e quindi l’apparente valore. Però mi piacerebbe togliermi il dubbio prima di cambiare tutte le mie password. Avete idee?

In ogni caso, vi consiglio di verificare se siete anche voi nell’archivio di credenziali rubate. Se poi avete dubbi su qualche password, c’è anche questa verifica per sapere se la password che usate è presente (anche se non associata a un vostro account) negli archivi di password di HIBP.


2019/01/17 16:30


Grazie a un lettore, G.V., ho avuto modo di sapere qual è la password associata al mio account di mail nell’archivio: è una sequenza di quindici cifre che non ho mai usato come password da nessuna parte. O è un hash bizzarro, oppure nel mio caso i dati contenuti nell’archivio non sono reali.


2019/01/17 23:30


L’esperto di sicurezza Brian Krebs è entrato in contatto via Telegram con il venditore di questa collezione di dati personali, che gli ha spiegato che la vende a prezzo stracciato (45 dollari) perché contiene dati di almeno due o tre anni fa. Le raccomandazioni di Krebs, che condivido, sono queste:

  • niente panico, nonostante i titoli sensazionali che trovate in giro;
  • che ci sia o meno il vostro indirizzo di mail in questa collezione, cambiare password non fa mai male, ma non usate password che avete già usato e non usate la stessa password dappertutto;
  • le password più preziose sono quelle che proteggono le nostre caselle di mail, perché se qualcuno prende il controllo di queste caselle può mandare una richiesta di reset delle password di qualunque servizio o account legato all’indirizzo e prendere così il controllo di tutto, perché il link di reset arriva via mail;
  • non usate password, ma usate passphrase: sequenze di parole che vi ricordate facilmente, come bicchiereGiovanniArancione (se il sito ve lo consente);
  • usate un buon password manager;
  • attivate l’autenticazione a due fattori (o verifica in due passaggi): presso Twofactorauth.org potete sapere quali servizi la offrono. Così se vi ruberanno le password non potranno comunque entrare nei vostri account.


Fonte aggiuntiva: Ars Technica.

Nessun commento: