Come noto, nei giorni scorsi i servizi di posta elettronica di Italiaonline, Libero Mail e Virgilio Mail, sono andati offline a causa di un problema tecnico: da qualche ora la società in questione ha comunicato il progressivo ritorno alla normalità dei summenzionati servizi, con la promessa di tenersi in contatto con gli utenti tramite i propri canali di comunicazione e la giustificazione del tanto tempo occorso per risolvere il problema con l’esigenza di tutelare l’integrità dei dati degli utenti.
Più o meno nelle stesse ore, però, su un canale Telegram è apparsa una combo list relativa a 573.000 utenti di Libero, con tanto di mail e password in chiaro. Secondo l’esperto di perizie informatiche Paolo Dal Checco, si tratta di dati ottenuti via phishing da utenti di Twitter che hanno anche Libero Mail tra i servizi adoperati.
Altre fonti dei dati in questione, secondo il portale di sicurezza informatica Cybersecurity 360, deriverebbero dall’impiego di tecniche di SQL Injection per l’estrazione di dati da siti internet locali, concepiti non in ottemperanza alle “basilari regole di sicurezza informatica“, come dimostrato dal fatto che le password sono in chiaro, palese esempio del fatto che tali web site non archiviano le password dopo averle protette con tecniche di criptazione come l’hashing tal che, appunto, vengono restituite in chiaro.
Analizzando un campione dei dati circolanti, è emerso anche altro. Alcune di queste email sono state usate per iscriversi anche a Twitter, usando la stessa password adoperata su Libero, con la conseguenza che si è reso possibile l’accesso anche a quest’ultimo. Il social del canarino azzurro, però, adoperando sistemi di breach detector, ha avvertito gli utenti coinvolti le cui password sono state trovate nell’elenco di Telegram, invitandoli a cambiare la password. Il problema, però, resta nei confronti degli altri servizi in cui ci si è iscritti usando una delle mail trapelate, con la stessa password associata.
Per proteggersi da emergenze simili, Cybersecurity 360 raccomanda di usare password “robuste” (complesse e lunghe), evitando di riusarle su servizi diversi e coltivando l’abitudine, laddove possibile, di implementare l’autenticazione a due fattori.