E’ stato scoperto il più grande quantitativo di dati hackerati nella storia, comprendente
770 milioni di email e password postati in un famoso forum per hacker a metà
dicembre.
Gli 87 GB di dati sono stati scoperti dal security researcher Troy Hunt, che gestisce il
servizio Have I Been Pwned. Hunt, che ha chiamato Collection #1, ha detto che è
costitutito da ‘moltissime data breach individuali da migliaia di fonti differenti’.
‘In totale, ci sono 1,160,253,228 combinazioni uniche di indirizzi email e password’ ha
scritto Hunt, e ’21,222,975 password uniche’.
Mentre molti indirizzi email sono apparsi in hackeraggi precedenti, come i 360 milioni
di account MySpace nel 2008, e i 164 milioni di account LinkedIn nel 2016, il ricercatore
ha detto ‘qui siamo nell’ordine delle 140 milioni di email, cosa che il HIBP non ha mai
visto’. Queste email possono arrivare da grandi e piccoli data breach mai scoperti in
passato.
Gli esperti di security hanno dichiarato che la scoperta di Collection #1 sottolinea il
bisogno degli utenti di un password manager, come 1Password o LastPass, per
immagazzinare una password unica e random per ogni servizio che usano. ‘E’ davvero
difficile non aver avuto la password o l’email hackerata durante l’ultima decade’, ha
detto Jake Moore, esperto di cybersecurity al ESET UK.
‘Se pensi che a te non possa accadere, allora probabilmente è già accaduto. Le app di
password managing sono ormai universalmente accettate e sono molto facili da
integrare su altre piattaforme’.
‘In più, aiutano a generare una password totalmente random per tutti i tuoi siti e app. E
se stai menttendo in dubbio la sicurezza di un password manager, sono incredibilmente
sicuri da usare rispetto ad usare la stessa password per tutti i tuoi siti’.
Hunt ha avvisato che questi data set vengono usati principalmente per attacchi al
‘credential stuffing’, cheche trae vantaggio dal ripetuto uso di password, cosa che i
password manager vogliono prevenire. ‘La gente fa delle liste come quelle che
contengono le nostre email e password e poi cercano di capire dove sono riutilizzate’
ha detto.
‘Il successo di questo approccio sta nel fatto che le persone usano le stesse credenziali
per diversi servizi. Forse i tuoi dati personali sono su questa lista perchè ti sei registrato
ad un forum tanti anni fa e te ne sei dimenticato, ma se hai usato la stessa password
per tutto, allora sei nei guai’.