La violazione di dati denominata Collection#1 raccoglie oltre un miliardo tra password e indirizzi email.
Cosa dobbiamo fare se scopriamo di essere stati hackerati?
Le violazioni dei dati stanno diventando sempre più comuni, ma quella venuta a galla nelle scorse ore ha proporzioni davvero colossali: 1,160,253,228 di password uniche e indirizzi e-mail compongono infatti la recente violazione chiamata Collection#1.
L’elenco collettivo di 773 milioni di indirizzi e-mail provenienti da diverse fonti, pubblicato sul servizio di archiviazione cloud MEGA, è stato segnalato da Troy Hunt, il proprietario del sito web HaveIBeenPwned che indicizza le informazioni compromesse da attacchi e violazioni di dati. Il numero di indirizzi e-mail rende Collection#1 il più grande data breach mai caricato sul sito di Hunt. Ma ci sono anche 21.222.975 password uniche contenute in questo “pacchetto” e per di più archiviate e mostrate chiaramente (e quindi non criptate) per essere viste da tutti.
Ciò che non è esattamente chiaro è se la violazione abbia memorizzato un indirizzo email effettivamente associato alla password utilizzata. Il database di Hunt consente di controllare il vostro indirizzo e-mail per vedere se è tra quelli hackerati e lo stesso vale per la password; se entrambi sono presenti nell’elenco, dovete presumere che qualcuno là fuori abbia accesso alla vostra email.
Per di più alcuni servizi online, come Google, consentono di archiviare anche le password di siti web di terze parti all’interno del servizio. In tal caso, conoscere la vostra password di Gmail darà a un utente malintenzionato l’accesso anche a quelle di altri vostri servizi.
Ciò che è particolarmente pericoloso è se si utilizzano sia il proprio indirizzo email, sia la stessa password per accedere a più siti. Che cosa si può fare allora? La prima cosa che consigliamo è controllare sul sito di Hunt se la vostra email è stata compromessa (ed è probabile che lo sia già considerando che questa non è certa la prima grande violazione di dati emersa negli ultimi anni).
HaveIBeenPwned consente inoltre di controllare la vostra password per vedere se è stata visualizzata nella Collection#1. Se così fosse, cambiatela il prima possibile. La protezione più collaudata contro le massicce violazioni dei dati è, ovviamente, l’utilizzo di un gestore di password.
I migliori non costano poco, ma possono generare automaticamente password quasi impossibili da indovinare, che diventano ancora più complicate da violare se abbinate all’autenticazione a due fattori. È poi vero che nemmeno un gestore di password può essere considerato sicuro al 100%, ma se non altro è molto più efficace dell’uso di password come 12345678 per ogni sito sul web.