Collection #2 esiste: altri 661 milioni di email e password sono in mano agli hacker (aggiornato)

A metà gennaio ha conquistato la ribalta delle cronache la notizia di una banca dati di 770 milioni di indirizzi di email, e una ventina di milioni di password che chiunque poteva scaricare dal servizio Mega, considerato a tutti gli effetti una sorta di “forum” per hacker.

Come molti avevano osservato, la cartellina chiamata Collection #1 che conteneva questa incredibile mole di dati sensibili faceva presagire che era stata scoperta sola la punta dell’iceberg, e che ne potesse esistere almeno un’altra. Ebbene, la cartellina Collection #2e è stata appena scoperta dai ricercatori di Hasso Plattner Institute a Potsdam (Germania).

Collection #2 è una cartellina ancora più vasta perchè include 845GB di dati, ben 2,2 miliardi di righe di credenziali, anche se solo 661 milioni di questi dati sensibili non erano presenti nella cartellina Collection #1

Queste informazioni vengono utilizzate dagli pirati informatici per condurre un attacco del tipo “credential-stuffing”, che sostanzialmente sfrutta un errore comune a molti utenti: utilizzare sempre le stesse credenziali – email e password – per registrarsi a vari servizi e siti web.

Questa “collezione” di informazioni è il frutto di una serie di violazioni di database effettuate negli anni dai cybercriminali contro Adobe, Yahoo, LinkedIn e Dropbox  Quindi, in questo caso non è importante quanto difficile è la password scelta, ma quante volte la stessa combinazione nome utente (email) e password è stata utilizzata per registrarsi a diversi siti e servizi.

Al momento tutti i dati di Collection #2 non sono stati ancora aggiunti al database del sito have i been pwned del famoso ricercatore di sicurezza Troy Hunt, che permette di sapere se le proprie credenziali sono finite in qualche modo in mano agli hacker. Tuttavia, è possibile effettuare una ricerca digitando il vostro indirizzo email nell’apposito campo, click sul pulsante “pwned” e se il risultato è Good news — no pwnage found! cioè l’indirizzo email non è stato trovato/condiviso dagli hacker, potete cliccare l’opzione “subscrive to search sensitive breaches” per essere avverti se e quando i vostri dati cadranno in mani sbagliate.

Se il risultato è Oh no — pwned! Pwned on 1 breached site and found 1 paste significa che l’indirizzo email è stato trovato in 1 database di un sito web (breached site), ed è stato condiviso in Rete (paste).

Naturalmente il numero di “breached site” e “paste” può variare. Più è alto, è maggiormente critica è la situazione.

Come proteggersi

Se il vostro indirizzo email è incluso nel banca dati di have i been pwned, la prima cosa è cambiare la password per tutti gli account creati con quella combinazione di email e password.

Il secondo passo è utilizzare il Portachiavi iCloud e utilizzare le password suggerite da Safari al momento di registrasi, in questo modo tutti i dati di login saranno sincronizzati tra i vostri Mac e dispositivi iOS, e le password saranno tutte differenti, rispettivamente.

1Password è la soluzione ideale che per chi utilizza sia prodotti Apple, sia quelli del lato oscuro dell’informatica.

Infine, se i siti web e servizi a cui vi siete registrati offrono l’autenticazione in due fattori, utilizzate questa funzionalità, in questo modo anche nella malaugurata ipotesi che i vostri dati sia hackerata, il pirata informatico non potrà comunque accedervi.

Aggiornamento: Hasso Plattner Institute hanno allestito uno speciale pagina web che permettere a chiunque di sapere se i propri dati sensibili sono caduti in mani sbagliate click qui