Michele Giannini
È da poco online quello che sembra essere il più grande leak di password di tutti i tempi. Trapelato su un popolare forum di hacker sotto forma di semplice file di testo da 100 GB, contiene 8.4 miliardi di password, alcune delle quali presumibilmente recuperate da precedenti fughe di dati e violazioni.
Secondo l’autore del post – che ha rinominato il file in RockYou2021, presumibilmente per dar seguito al famoso data breach RockYou del 2009 che ha reso pubblici ben 32 milioni di accessi – tutte le password rubate sono lunghe tra i 6 ed i 20 caratteri, con spazi bianchi rimossi e caratteri non-ASCII. Lo stesso utente ha dichiarato che il leak contiene oltre 82 miliardi di chiavi di accesso, ma a seguito di alcuni controlli il numero effettivo è risultato di circa 10 volte inferiore (comunque pari a 8.459.060.239 voci univoche).
Con una “collezione” 262 volte superiore al suo omonimo (di 12 anni più vecchio), questa fuga di password è paragonabile alla Compilation Of Many Breaches, o COMB, che fin’ora deteneva il titolo di più grande compilation di violazioni di dati di sempre. I suoi 3.2 miliardi di password trapelate, insieme ai dati provenienti da altri database noti sono tutti inclusi in RockYou2021, una raccolta che ha richiesto al suo creatore un lavoro durato sicuramente diversi anni.
Considerando che solo circa 4,7 miliardi di persone hanno degli account sparsi per il web, il file RockYou2021 include potenzialmente le password dell’intera popolazione connessa globalmente quasi due volte. Per questo motivo, ci raccomandiamo di controllare immediatamente se le vostre password sono state compromesse.
Come controllare se la propria password è stata compromessa?
Quando trapela sul web una fuga di password così massiccia è sempre bene controllare se i nostri account sono al sicuro. Per farlo sarà sufficiente recarsi su questo sito ed inserire la password sulla quale effettuare il check. Per essere più sicuri, volendo, è disponibile un’altro tool che verifica se la propria email è stata oggetto di breaches nel corso degli anni passati, basta cliccare qui.
L’impatto potenziale di un leak così pesante
È innegabile che una fuga di dati così corposa lascia tutti piuttosto preoccupati per la propria sicurezza nel magico mondo dell’internet. Combinando, infatti, 8.4 miliardi di password univoche con altre raccolte che includono nomi utente ed indirizzi email, i malintenzionati possono utilizzare il file RockYou2021 per effettuare attacchi “password spraying” e “password dictionary” contro un numero imprecisato di account online. E dal momento che la maggior parte delle persone riutilizza le proprie password su più app e siti web, il numero di account colpiti da attacchi hacker sulla scia di questa fuga di notizie può potenzialmente raggiungere milioni, se non miliardi di utenti.
Cosa fare se la propria password risulta compromessa?
I passi da seguire, in questo caso, sono pochi e semplici. Dopo aver utilizzato i due tool proposti qualche paragrafo più su è imperativo cambiare la propria password; a tal proposito può essere utile considerare l’utilizzo di un gestore di password – ce ne sono vari, per citarne alcuni: 1Password, mSecure, Dashlane -. Altro punto nella “guida alla sicurezza online” è l’abilitare l’Autenticazione a Due Fattori (2FA) su tutti gli account online, in modo da dover sempre effettuare l’accesso tramite un codice OTP.
Infine, attenzione alle email di spam ed agli sms che regalano inspiegabilmente iPhone perchè siete stati troppo buoni in giornata.
Avete utilizzato i tool per scoprire se i vostri account sono stati leakati?