Qualche settimana fa abbiamo riferito di una colossale violazione di sicurezza operata ai danni d el social professionale Linkedin: un backer, tale “Pace”, aveva messo in vendita, nel deep web, qualcosa come 117 milioni di account (seppure obsoleti). Ebbene, in queste ore, è emerso che anche MySpace e Tumblr sarebbe stati hackerati con la conseguenza che milioni di loro account sarebbero finiti in vendita sempre nei mercati della darkweb.
In relazione al furto di dati che ha coinvolto MySpace, la rivista online “Motherboard” riferisce che si tratta della più grande, almeno per ora, violazione informatica del mondo mai avvenuta. Ad essere stati trafugati sarebbero stati 360 milioni di account, fatto questo molto pericoloso perché, in essi, sarebbero comprese anche le mail e le password. Ora, se le email possono essere usate per lo spam e per i tentativi di phishing (es. quello dei finti Ray-Ban a 20 euro), la compromissione delle password (in questo caso, 427 milioni) potrebbe rivelarsi ancora più pericolosa nel caso che quest’ultime fossero state usate anche per altri servizi personali (es. la mail, o l’accesso a Facebook).
Continuando con le informazioni fornire dai colleghi di Motherboard, si evince che la violazione sarebbe avvenuta nel 2013 ma avrebbe avuto i suoi effetti solo ora perché per molto tempo la crittografia usata da MySpace è stata inviolabile ma, non aggiornata da tempo e divenuta ormai obsoleta, è stata alfine “bucata” rivelando password banali come “password1” (585.503 volte) e abc123 (569.825 volte). MySpace, interpellata sull’argomento, ha ammesso la violazione ed ha spiegato d’essersene accorta si è notato che lo stesso hacker di Linkedin aveva messo in vendita, in alcuni forum del deep web, le credenziali MySpace in pacchetti da 2800 dollari l’uno…
Ad aver scoperto il furto dei dati di Tumblr, spiega la BBC, è stato l’esperto di sicurezza Troy Hunt secondo il quale, però, i danni sarebbero più limitati per il microblogging di Yahoo: appena 65 milioni di account messi in vendita nel deep web. Il bello spiega, Hunt, è che sarebbe stati messi in vendita anche i dati, più compromettenti, del casual dating Fling (in questo caso, la violazione sarebbe del 2011, sempre attribuibile a “Pace”).
Per scoprire se il proprio account Linkedin, Tumblr, Fling o (prossimamente) MySpace sia stato violato, basta utilizzare il tool predisposto da Hunt, “Have I Been Pwned” (https://goo.gl/l87IuE). Nel caso, cambiamo subito la password (sperando di recuperarla o di ricordarla) e, per il futuro, seguiamo pochi semplici consigli: cambiar spesso la password, sceglierla lunga (con una buona combinazione di maiuscole, minuscole, lettere e numeri), evitare password banali tratti dal vocabolario o da informazioni attinenti la vita personale (data di nascita, residenza, nomignolo amoroso etc).