Giuseppe F.
L’esposizione di credenziali online è un grosso problema, ma ora abbiamo superato il limite: i numeri sono spaventosi.
Si parla di circa 1,3 miliardi di password e quasi 2 miliardi di indirizzi email che sono stati raccolti e poi resi disponibili in un unico archivio. Secondo gli esperti di cybersecurity siamo di fronte alla violazione di dati più grande della storia.
Il database è stato compilato dalla società di threat intelligence Synthient, che ha scandagliato sia il web aperto che il dark web alla ricerca di credenziali rubate. Contrariamente ad alcune informazioni già circolate in rete, non si tratta di una nuova violazione di un’azienda specifica ma di una sorta di collezione di dati provenienti da centinaia di vecchi data breach e da malware che hanno continuato a rubare informazioni per anni e anni.
E fa impressione capire che 1,3 miliardi di password uniche erano lì esposte, insieme a quasi 2 miliardi di mail. Secondo gli esperti, nell’archivio c’erano più di 600 milioni di password mai viste prima in altri archivi, quindi nuove per i sistemi di controllo.
Sappiamo che queste raccolte vengono sfruttate dagli hacker per gli attacchi di credential stuffing, cioè per i tentativi automatizzati di accesso a servizi online. Per entrare in siti sensibili come home banking, social, e-commerce, piattaforme di lavoro e database, i malintenzionati usano in pratica delle combinazioni email-password già note.
E ora milioni di utenti rischiano di vedere i propri account violati. Dunque, a tutti deve essere chiaro che le password, da sole, non bastano più a proteggere gli utenti. Bisogna adottare pratiche di sicurezza più aggiornate, come la 2FA e il password manager.
Ma come verificare se le proprie credenziali sono state esposte? E cosa fare subito per mettersi al sicuro? Ve lo spieghiamo subito…
Email e password compromesse: come scoprire se si è a rischio
Per capire se si è in pericolo, basta andare sul sito Have I Been Pwned e inserire la propria email. Se l’indirizzo risulta compromesso, significa che è presente in uno dei data breach raccolti. Sullo stesso sito si possono anche controllare le singole password. E se compaiono nel database, vanno cambiate immediatamente.
In ogni caso, là dove è possibile, è sempre meglio abilita la 2FA. Con questo sistema, anche se la password viene rubata, serve un secondo codice per accedere al servizio.
Bisogna però sapere che l’autenticazione tramite SMS non è sicura al 100%. Meglio preferire app come Authy o Google Authenticator.