A scoprire l’enorme furto di dati Collection #1 di 87 GigaByte, è stato l’australiano esperto in sicurezza informatica Troy Hunt fondatore di “Have I Been Pwned?”, un sito che permette di verificare se la nostra e-mail è stata o meno hackerata.
Un totale di 773 milioni di e-mail e 22 milioni di password “uniche”caricate per alcuni giorni su MEGA, un sito che offre un servizio di file-sharing. Gli stessi dati sono stati successivamente pubblicati in chiaro su un famoso forum di hacking.
Le e-mail e le password rubate provengono, presumibilmente, da migliaia di data breach inseriti in un unico database per consentire ai cyber-criminali di effettuare attacchi automatizzati con il minimo sforzo.
Mi riferisco alla tecnica del credential stuffing usata per violare altri servizi di uno stesso utente contando sul fatto che la stessa password sia stata utilizzata più volte.
Anche se i dati sottratti si riferiscono ad una serie di violazioni avvenute nel corso degli ultimi anni, la scoperta di Hunt riaccende l’allarme sulla necessità di cambiare le password delle proprie e-mail con una certa frequenza.
Quali sono gli errori che si commettono con più frequenza, come posso tutelarmi per il futuro?
Uno degli errori più frequenti che si commette quando ci si iscrive ad un servizio di home banking, social, forum, siti e-commerce… è quello di usare la stessa password utilizzata per altri siti. Il secondo errore più frequente è quello di usare una password semplice come ad esempio una sequenza di numeri o un nome.
Quello che invece dobbiamo fare per minimizzare il rischio che le nostre credenziali vengano facilmente rubate è utilizzare, ove possibile, l’autenticazione a 2 fattori (2FA), utilizzare password robuste composte da una serie fra numeri, maiuscole, minuscole e caratteri speciali come la @ # ! ? %…
Per tutto questo possiamo farci aiutare da un gestore di password facilmente integrabile con il nostro browser, ne esistono davvero molti sia commerciali che di libero utilizzo, qui potrete trovare una lunga lista.
Mentre se volete sapere se il vostro account e-mail che avete utilizzato per registrarvi su un servizio internet è stato hackerato, basta cliccare su questo link Have I Been Pwned? ed inserire il vostro indirizzo e-mail e… buona fortuna.