Collection#1: una sintesi del Data Breach da 773 milioni di password

Si chiama Collection#1 ed in questi giorni la notizia del Data Breach da 773 milioni di password rubate è apparsa su tutti i media, descritta con grande enfasi e con accenti allarmistici. Vediamo di farne una sintesi, per capire quello che è accaduto e – soprattutto – come fare per proteggersi.

La scoperta è stata fatta dal famoso esperto australiano Troy Hunt che ne ha dato notizia nell’articolo “The 773 Million Record “Collection #1″ Data Breach” pubblicato sul suo blog (del quale consiglio la lettura) giovedì 17 gennaio. In realtà, la notizia era stata divulgata già il giorno prima attraverso la newsletter di Troy Hunt. Il 18 gennaio è stata rilanciata dalle testate giornalistiche di tutto il mondo.

Che cosa è Collection #1?

È un enorme archivio di 87 gigabytes, suddiviso in oltre 12mila file con in totale 2.692.818.238 righe di indirizzi email e password. Troy Hunt ha scoperto questo archivio sul sito cloud di condivisione di file “Mega” (Mega.nz, l’erede di Megaupload creato dal discusso personaggio Kim Dotcom), da cui successivamente sono stati eliminati. Si tratta di una “raccolta” da molte diverse violazioni dei dati da migliaia di fonti diverse, che Troy Hunt ha riprodotto sul servizio Pastebin.

Dopo aver ripulito i dati duplicati, Troy Hunt ha individuato 772.904.991 indirizzi e-mail univoci con 21.222.975 password uniche. 

Questo archivio è stato caricato sul database che Troy Hunt gestisce sul suo sito Have I Been Pwned (HIBP) e rappresenta – come si può vedere sul citato sito – uno dei più grandi “data breach” (violazione di dati) di sempre. Ricordiamo che ad oggi, il sito HIBP raccoglie un archivio di ben 6.474.028.664 account violati e rappresenta uno strumento molto utile – messo a disposizione di chiunque per verificare la sicurezza dei propri account – e di cui parleremo successivamente.

Facendo una comparazione fra le email già presenti nel suo sito HIBP e quelle presenti in Collection#1, lo stesso Troy Hunt sostiene che le email totalmente nuove (mai  caricate prima nel suo database) sono 140 milioni e 10 milioni sono le password “nuove”.

In realtà Collection#1 sembrerebbe essere solo il primo di una più vasta serie di archivi contenenti credenziali rubate. Complessivamente gli archivi potrebbe raggiungere il terabyte. L’esperto americano Brian Krebs sul suo sito https://krebsonsecurity.com ha raccontato di aver contattato via Telegram un utente che si fa chiamare “Sanixer” (secondo alcuni sembrerebbe russo o ucraino), per saperne di più sulle origini della Collection # 1, che attualmente sta vendendo per il prezzo d’occasione di soli 45 dollari.

Sanixer ha dichiarato a KrebsOnSecurity che la Collection#1 consiste in dati estratti da un numero enorme di siti compromessi e che non era esattamente la sua offerta “più fresca” (è di almeno 2-3 anni fa). Sanixer ha poi ha offerto un’interessante schermata delle sue collezioni aggiuntive (vedere l’immagine in apertura di questo articolo). Quindi Collection#2 potrebbe essere grande 526 gigabyte, mentre Collection#3 37 gigabyte. Ci sarebbe anche una quarta raccolta (Collection#4), da 178 gigabyte, seguita dalla quinta (Collection#5) da 42 gigabyte ed altre due cartelle (AntiPublic#1 e Zabugor#2) da 126 gigabyte, tutte di credenziali ed email. 

Collection#1 è stato cancellato da Mega.nz, ma adesso tutte le collection sono condivisibili e scaricabili sotto forma di file ‘.torrent’ da un forum di hacker, a pagamento.

Carola Frediani, nella sua imperdibile newsletter domenicale “Guerre di Rete” ha detto con una battuta che “questo mega-archivione si deve chiamare Big Mama, la madre di tutti i database leakati, o quasi. Certamente non è il primo, e certamente gran parte della roba che sta lì dentro è vecchia, rimaneggiata. Va detto che da anni assistiamo non solo a siti e database utenti che sono sistematicamente bucati e depredati ma anche a vari attori dell’underground che si dedicano a raccoglierli, rimpacchettarli, rivenderli o scambiarli.” E l’hashtag #BigMama sta spopolando in rete assieme a #bigDB.

Anche Marco Ramilli di Yoroi ha analizzato questi archivi come riporta in questo suo interessante articolo. Le caselle di posta più colpite sono quelle di Yahoo, Gmail, Hotmail, Aol e mail.ru. Ed una delle domande a cui ha voluto dare una risposta è stata: “Quali sono le password più utilizzate?”. Ce lo mostra in questo grafico:

Fonte: https://marcoramilli.com/2019/01/19/collection-i-data-breach-analysis-part-1/amp/

Cosa possiamo fare per proteggerci? 

Il Data Breach di Collection#1 non è stato il primo e non sarà l’ultimo. Credo che sia ovvio immaginare che in giro nella rete ci siano molti altri account violati, vista la scarsa attenzione con la quale gli utenti li proteggono!

Si è sempre guardato solo ai leak più grossi e famosi (Dropbox, Linkedin, Yahoo!, Marriott Hotel, Sony Pictures, ecc.), ma esiste sicuramente una moltitudine di siti minori che hanno perso dati con meno clamore e senza fare notizia.

Queste credenziali rubate sono facilmente reperibili nel web (nel Darkweb, ma non solo…). L’uso più immediato di tali dati è soprattutto il credential stuffing, cioè l’uso di sistemi automatizzati per provare a inserire la coppia “email e password” su più siti, nella speranza che l’utente usi quelle stesse credenziali su altri servizi (pratica pericolosissima nota come riuso della password).

Non possiamo perciò impedire che i nostri account vengano rubati, nei data breach che subiscono i siti ove siamo registrati. Possiamo – anzi dobbiamo – evitare che questi leak si propaghino in altri nostri account. 

In questo mio articolo spiego “Perché non dobbiamo usare le stesse password“, che come detto è un errore che può avere conseguenze gravissime per la sicurezza dei nostri account.

È poi anche importante utilizzare password forti, che siano difficili da scoprire da parte dell’attaccante. In questo articolo “Come scegliere una password sicura, difficile da indovinare: tutti i consigli degli esperti” spiego come fare.

Altri utili consigli sull’uso delle password in questo articolo: “Creare una password, i tre errori tipici da non fare”.

Oltre a non usate mai la stessa password su più servizi, è estremamente utile – per aumentare la sicurezza dei propri account – attivare sempre l’Autenticazione a due fattori (2FA). Quest’ultima, rende completamente inutile la vostra password ad un hacker: non gli basta per entrare nei vostri account, deve pure avere il device che utilizzate per confermare l’accesso, e questo è ben più difficile da ottenere. L’autenticazione a due o più fattori o “strong authentication” è dunque oggi il sistema di protezione più sicuro che abbiamo a disposizione per proteggere i nostri account. 

Attivare l’Autenticazione a due fattori (2FA) non è difficile e tutti siti importanti la prevedono. Ma – a differenza dei siti di internet banking che la rendono obbligatoria – è sempre un opzione facoltativa che l’utente può decidere di utilizzare. In questo articolo spiego come funziona e come fare per impostarla: Autenticazione a due fattori: cos’è, come e perché usarla.  

Usare un Password Manager

In un suo famoso articolo del 2011, Troy Hunt scrisse che “The only secure password is the one you can’t remember”.

Ma se – come giustamente afferma Troy Hunt – l’unica password sicura è quella che non si può ricordare, ed inoltre dobbiamo usare password complesse e sempre diverse, qual è il modo più pratico e sicuro per gestire le proprie password?

Il consiglio che dà Troy Hunt nel citato articolo (e che condivido pienamente) è quello di utilizzare un Password Manager. Questa soluzione, oggi alla portata di tutti, rappresenta il miglior compromesso tra sicurezza ed usabilità. 

In questo articolo: “Password manager: cosa sono, quali sono i migliori, come usarli e perché” ne illustro le caratteristiche, i vantaggi e le modalità di funzionamento. Ed indico quali – a mio parere – sono i migliori prodotti sul mercato.

Utilizzare il sito “Have I Been Pwned” (HIBP)

Il già citato Troy Hunt è diventato un riferimento mondiale per i data breach e le password rubate. Questo soprattutto grazie al sito “Have I Been Pwned” (HIBP), da lui creato nel 2013 (e che si potrebbe tradurre con: “Sono stato io violato?”) ha classificato tutti i data breach più importanti degli ultimi anni, creando un archivio che oggi contiene circa 6,5 miliardi di account violati (N.d.A.: ad aprile 2020 sono arrivati a oltre 9,5 miliardi, a conferma che i data breach con furto, pubblicazione e vendita di dati compromessi continuano a crescere molto velocemente).

È sufficiente inserire il proprio username e cliccare sul pulsante “pwned?” per sapere se il nostro account è stato coinvolto in qualche incidente informatico. Se così fosse, la schermata diventa rossa e compare la scritta “Oh no — pwned!”. E vengono elencati i “Breaches you were pwned in”, i data breaches nei quali il nostro account è finito. Con il consiglio, ovvio, di cambiare subito la password dell’account violato!

Il sito è sicuro, gratuito, ed ormai molto noto, tant’è che viene utilizzato anche dal browser Chrome, attraverso un’apposita estensione (chiamata “PassProtect”) la quale, ogni volta che inseriamo una password nel browser, controlla sul database di Haveibeenpwned se la password risulta essere stata hackerata.

E se lo è, ci dà l’informazione “the password isn’t safe”.

© Copyright 2019 Giorgio Sbaraglia
All rights reserved.


Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.

Lascia un commento