Un’enorme quantità di dati sensibili è stata recentemente resa pubblica su BreachForum, una piattaforma utilizzata dai criminali informatici per scambiare informazioni rubate. Tra i dati resi pubblici, quasi 10 miliardi di password univoche raccolte in anni di violazioni. Questa scoperta, fatta dai ricercatori di sicurezza di Cybernews, rappresenta una delle più grandi fughe di credenziali mai registrate.
Il database, denominato RockYou2024, è stato pubblicato da un hacker noto come “ObamaCare“. Già contenente oltre 8 miliardi di password, il database è stato recentemente ampliato con l’aggiunta di 1,5 miliardi di nuove credenziali. Per mettere in prospettiva la vastità di questa raccolta, contare tutte queste password una a una richiederebbe 315 anni, considerando una velocità di una password al secondo. Le password provengono da utenti di tutto il mondo, e la loro compromissione rappresenta una grave minaccia per la sicurezza informatica globale.
Facciamo chiarezza un attimo. Cos’è il “credential stuffing“? Una delle tecniche utilizzate dai cybercriminali per sfruttare questi database è il “credential stuffing“. Questo metodo consiste nel prendere le credenziali rubate e provarle automaticamente su diverse piattaforme tramite attacchi di brute-force. I target possono includere social network, istituti bancari e app di pagamento. Il credential stuffing è particolarmente efficace quando gli utenti utilizzano la stessa combinazione di username e password su più servizi. Per proteggersi da questi attacchi, è fondamentale cambiare regolarmente le password, utilizzare combinazioni complesse e attivare l’autenticazione a due fattori.
Fortunatamente, ci sono strumenti che permettono di verificare se le proprie credenziali sono state compromesse. Uno dei più noti è il sito “Have I Been Pwned?” creato da Troy Hunt, Microsoft Regional Director. Questo servizio gratuito consente agli utenti di controllare se il proprio indirizzo email, password o numero di telefono sono presenti nei database di dati violati. Un altro strumento simile è “Has Your Password Leaked?“, che offre lo stesso tipo di verifica. Per utilizzarli, basta visitare i siti, inserire le proprie informazioni nella barra di ricerca e attendere i risultati. Se le proprie credenziali risultano compromesse, è importante agire rapidamente per proteggere i propri account.
Cosa fare se la propria password è stata violata? Se si scopre che una delle proprie password è stata violata, è importante non farsi prendere dal panico. La prima cosa da fare è cambiare immediatamente la password compromessa. È consigliabile utilizzare una password complessa, unica per ogni account, e assicurarsi che non sia simile a quelle utilizzate in passato. Un’altra misura di sicurezza cruciale è l’attivazione dell’autenticazione a due fattori (2FA). Questo sistema aggiunge un ulteriore livello di protezione richiedendo un codice temporaneo, che può essere ricevuto via SMS, WhatsApp, o generato da app come Authenticator. È essenziale non condividere mai questi codici con nessuno, poiché farlo potrebbe permettere ai malintenzionati di accedere ai propri account. L’utilizzo di un password manager può aiutare a generare e memorizzare password complesse, riducendo il rischio di utilizzare combinazioni facili da indovinare o ripetute su più servizi. Questi strumenti possono anche semplificare il processo di cambiamento delle password e la gestione delle credenziali.