773 milioni di email e 21 milioni di password compromesse, come controllare se si è nell’elenco
772.904.991 indirizzi e-mail, e oltre 21 milioni di password uniche, sono stati recentemente condivisi sul servizio cloud MEGA, che viene considerato a tutti gli effetti un forum per hacker.
Si tratta di un numero enorme di dati, contenuti in una cartella chiamata Collection#1, con oltre 12.000 file per un peso totale di 87GB.
Queste informazioni vengono utilizzate dagli hacker per condurre un attacco del tipo “credential-stuffing”, che sostanzialmente sfrutta un errore comune a molti utenti: utilizzare sempre le stesse credenziali – email e password – per registrarsi a vari servizi e siti web.
Come è avvenuta la violazione
Gli indirizzi email e le password sono state rubate da pirati informatici violando il database dei siti web che richiedono per qualche motivo una registrazione composta da un nome utente (generalmente un indirizzo email) e una password. Quindi, in questo caso non è importante quanto difficile è la password scelta, ma quante volte la stessa combinazione nome utente (email) e password è stata utilizzata per registrarsi a diversi siti e servizi.
Come controllare
Troy Hunt, un ricercatore di sicurezza, e proprietario di have i been pwned ha aggiunto questa mole incredibile di dati al suo sito Web. Per controllare è sufficiente digitare il proprio indirizzo email nell’apposito campo, e fare click sul pulsante “pwned”. Quindi bisogna prestare attenzione al risultato:
Good news — no pwnage found! Siete salvi. Il vostro indirizzo email e password non sono stati trovati dagli hacker
Oh no — pwned! Pwned on 1 breached site and found 1 paste L’indirizzo email è stato trovato in 1 database di un sito web (breached site), ed è stato condiviso in Rete (paste).
Naturalmente il numero di “breached site” e “paste” può variare. Più è alto, è maggiormente critica è la situazione.
Come proteggersi
Se il vostro indirizzo email è incluso nel banca dati di have i been pwned, la prima cosa è cambiare la password per tutti gli account creati con quella combinazione di email e password.
Il secondo passo è utilizzare il Portachiavi iCloud e utilizzare le password suggerite da Safari al momento di registrasi, in questo modo tutti i dati di login saranno sincronizzati tra i vostri Mac e dispositivi iOS, e le password saranno tutte differenti, rispettivamente.
1Password è la soluzione ideale che per chi utilizza sia prodotti Apple, sia quelli del lato oscuro dell’informatica.
Infine, se i siti web e servizi a cui vi siete registrati offrono l’autenticazione in due fattori, utilizzate questa funzionalità, in questo modo anche nella malaugurata ipotesi che i vostri dati sia hackerata, il pirata informatico non potrà comunque accedervi.
28 Commento
Porca pupazza
Pwned on 14 breached sites and found 1 paste
Segnalo per dovere di cronaca che oltre a 1Password esiste l’ottimo “Enpass”. Database salvato in locale (quindi non si danno le proprie password in mano a nessuno) e sincronizzabile con dropbox, icloud google drive etc. Autocompletamento disponibile su tutti gli iDevices ma anche su pc win etc e tramite estensione del browser. Molto ben fatto, genera lui stesso le password volendo e gestisce anche le otp di diversi servizi. Ma soprattutto ha al suo interno la funzione integrata di controllare su have i been pwned se le credenziali sono state violate e segnalarlo.
Certo che se le sincronizzi sui servizi Cloud tanto al sicuro non sono…
In realtà non è proprio così. Chiaramente dipende dal servizio che usi ma ad esempio usando icloud un malintenzionato per arrivarci dovrebbe violare il tuo account di iCloud cosa molto difficile se si usa l’autenticazione in due passaggi. Ma ammesso e non concesso di arrivare all’archivio il database è criptato con una password che tu e solo tu conosci e senza di quella è assolutamente inutilizzabile. Quindi è praticamente inviolabile. Sincronizzarlo sul cloud non è fondamentale ma è l’unico modo per avere un’esperienza d’uso paragonabile a portachiavi icloud di mamma Apple 😉
A me sembra strano inserire la propria e-mail su un sito che non si conosce… SpiderMac, dici che quelli di “have i been pwned” sono seri e non fanno qualche strano scherzo? Sicuro che poi non si viene sommersi di spam, o peggio?
Troy Hunt è un ricercatore di sicurezza molto famoso e stimato (trovi tutto su Wikipedia), così come il sito che ha creato have i been pwned
Ok, grazie.
La mia mail risulta nell’elenco. Ma non ho memoria di dove ho utilizzato questa mail per registrarmi a qualche sito. C’è modo di sapere dove devo cambiare la combinazione di mail e password?
Dal Mac, in Spotlight digita Accesso Portachiavi, e apri l’utility, poi nel campo di ricerca interno dell’applicazione scrivi l’indirizzo e-mail, quindi otterrai un elenco dei siti web e servizi per i quali hai utilizzato questo indirizzo di posta.
in spotlight digito accesso portachiavi ma non mi da alcun risultato. Dove sbaglio? Grazie per la disponibilità
Apri la cartella Applicazioni, poi Utility quindi lancia Accesso portachiavi
Grazie. Preciso come sempre!
Se effetui la ricerca in fondo alla pagina, vengono elencati i siti con gli account compromessi…
L’elenco che appare alla fine della ricerca è parzialmente utile, perchè rivela in quali database dei siti hackerati si trova il proprio indirizzo email, però, se la stessa combinazione di email-password è stata utilizzata anche per altri siti e servizi, bisogna cambiare anche quelli, quindi è meglio utilizzare Accesso Portachiavi per sapere quanti login modificare.
Per la mia mail ha trovato un paio di siti hackerata, ma io non uso mai la stessa password, quindi alla fine, essendo registrazioni occasionali (dafont.com e un’altro sito di cui non ricordavo nemmeno l’esistenza) penso di poter stare tranquillo.
Torno a scrivere per un aggiornamento, e una domanda, un mio account hotmail risulta pwned, tra gli altri in Badoo (non ricordavo nemmeno di avere una registrazione in questo sito). Per i miei account , compreso quello di cui dico, ho attivato sul sito Have I Been Pwned la notifica in caso di futuri risultati, hotmail è l’unico che ha dirottato la mail per la verifica nello spam, per cui sono andato a cercarla e ho trovato una mail inquietante: sembrava provenire dal mio stesso account e in un italiano da traduttore automatico in sostanza mi diceva di aver hackerato i miei dati in un sito per adulti e chiedeva di inviargli 238 € in bitcoin altrimenti avrebbe… eccetera eccetera. L’ho segnalata come tentativo di fishing, mi confermi che per chi ne è capace è piuttosto facile camuffare l’indirizzo emittente di una mail? Cioè, era solo un trucco per farmi credere ciò che non è o devo preoccuparmi?
Non è difficile camuffare l’indirizzo del mittente di una email. In ogni caso, per precauzione cambia la password del tuo indirizzo, e le info di sicurezza di hotmail click qui
Grazie
Il mio risultato è questo; Oh no — pwned! Pwned on 3 breached site and found 0 paste.
In base ai siti che mi segnala, mi dice anche che gli attacchi sono stati fatti nel 2012-2013-2016. In questo lasso di tempo ha già cambiato diverse volte le password sia per quei siti che su altri siti o servizi che usano la stessa mail, per lo meno per quelli dove al sicurezza del mio account deve essere importante.
Dici che sono sicuro? Anche perché non mi ricordo che password usavo 3-4 anni fa.
Grazie
Per precauzione, cambia le password dei siti interessati utilizzando il suggerimento delle password di Safari, così escludi il rischio di riciclare qualche vecchia password “personale”.
anche per me la stessa cosa… sull’account Gmail…porca paletta!!! Comunque su questo account ho abilitata l’autenticazione a due fattori. Suggerisci cmq di procedere come descritto nell’articolo?
Si, cambia la password, e ricordati anche di modificare la domanda di sicurezza e le altre opzioni, oltre i dati di login per tutti i siti per i quali hai utilizzato la stessa email-password.
grazie Stefano
“Se il vostro indirizzo email è incluso nel banca dati di have i been pwned, la prima cosa è cambiare la password per tutti gli account creati con quella combinazione di email e password.”
Ma quale password devo cambiare? cioé io ho la stessa mail, ma tutte le password sono diverse per i vari siti…come faccio a sapere quale sito hanno hakerato e quale password devo cambiare?
Dopo aver fatto la verifica, scorri un po’ la pagina, dopo i banner di 1Pasword, troverai l’elenco dei siti hackerati che contenevano l’email, ed anche l’indicazione di quali dati sono compromessi (email, password, indirizzo personale ecc.)
Ma come mai c’è il link che “riporta” a 1Password???? Ho inserito una email gia colpita con tanto di richiesta denaro sennó condividevano i video compromettenti ?( video zozzi )…. messa in spam
A quanto pare email usata su Adobe….e ti pareva? ….sicurezza zero
Sto un po’ in difficoltà. Il mio indirizzo risulta essere “hackerato”, con questo esito:
“Pwned on 1 breached site and found no pastes (subscribe to search sensitive breaches)”.
Precisamente nel Collection#1
Vedendo i dati sotto indicati, ero iscritto oltre 10 anni fa su mySpace. Forse anche su Adobe ma non mi riconosce l’utenza. Gli altri siti non li conosco.
Help.