Collection #2-5, divulgati 2,2 miliardi di account e password via Torrent: come controllare se c'è anche il tuo

Non è passato molto tempo da quando vi abbiamo parlato di Collection #1, il più grande caso di account rubati e condivisi via internet con 773 milioni di indirizzi e-mail e 21 milioni di password. Il dump degli account compromessi è stato definito "Collection #1" e potete saperne di più attraverso il nostro approfondimento Collection #1: 21 milioni di password online. Nelle scorse ore sono stati diffuse le Collection #2-5 e i numeri sono impressionanti: 845 GB di dati rubati che includono 25 miliardi di voci e 2,2 miliardi di combinazioni di nomi utenti e password.

Come scrive Wired, gli account compromessi nelle Collection #2-5 sono più del doppio rispetto a quelli divulgati con la prima Collection. I numeri che abbiamo scritto poco sopra sono stati ricavati sulla base delle prime stime compiute dai ricercatori di sicurezza, e rappresentano un nuovo pericoloso record per quanto riguarda la "breach" più grande relativa a raccolte di dati sensibili degli utenti: "È la più grande collezione di dati rubati che abbiamo mai visto", è stato il commento di Chris Rouland, fondatore di Phopsphorus.io.

A peggiorare la situazione il fatto che la raccolta di dati non ha faticato a raggiungere il mercato nero, ed è già stata scaricata più di mille volte attraverso la rete di file sharing Torrent. Nella fattispecie il file contenente le "Collection #1-5" è stato mandato in seed (diffuso per il download da parte di altri utenti della piattaforma) da più di 130 persone che possedevano il dump dei dati, e al momento della stesura del pezzo da parte di Wired è stato scaricato più di mille volte: "Mai prima d'ora un quantitativo di informazioni del genere era diventato di pubblico dominio".

È comunque da notare che grossa parte delle informazioni raccolte sono relative ad un periodo precedente alle violazioni nei servizi Yahoo, LinkedIn e Dropbox, con i dati che adesso sono stati resi disponibili ad un pubblico più ampio e potenzialmente vastissimo. Ma, come spiega Rouland, il pericolo è che anche "hacker inesperti possono semplicemente provare le combinazioni di nomi utente e password trapelati in passato su qualsiasi sito pubblico nella speranza di carpire informazioni da utenti che incautamente hanno riutilizzato quelle password".

Come scoprire se un account è stato violato con le Collection #2-5?

Il metodo per scoprire se un account specifico è stato violato è sempre lo stesso: è necessario prima visitare il sito Have I Been Pwned, gestito dal ricercatore di sicurezza Troy Hunt e assolutamente sicuro, che permette di scoprire se un indirizzo email è presente nell'elenco. Poi è bene controllare se la propria password è compromessa con un altro strumento di Hunt: Pwned Password, che permette di scoprire la password inserita è presente nell'elenco. Cosa fare quindi se uno dei due dati è stato trafugato? È imperativo cambiare password e, se utilizzate le stesse password per tutto è consigliabile cambiare approccio. Come? Con ad esempio un password manager, oppure elaborando password uniche per ogni account cercando di ricordarle con la strategia mnemonica che meglio credete.