16 miliardi di password rubate: potrebbero esserci anche le tue! Cosa fare per proteggersi

Una recente indagine condotta dal team di Cybernews ha permesso di scoprire ben 16 miliardi di login e password esposti in una delle più grandi fughe di dati della storia. La portata della violazione, mai segnalata prima d’ora, supera ogni precedente e coinvolge credenziali provenienti da una molte piattaforme diverse: social network, servizi aziendali, VPN, portali per sviluppatori, servizi cloud, account Apple, Facebook, Google, Telegram, GitHub e persino portali governativi. Nessun settore sembra essere stato risparmiato da questa ondata di dati trafugati, che rappresenta un vero e proprio arsenale a disposizione dei cybercriminali.

16 miliardi di password trafugate in 30 dataset

Quanto scoperto è il risultato di una ricerca avviata ad inizio anno, che ha portato ad individuare 30 dataset distinti, ognuno con dimensioni variabili: dal più piccolo, battezzato col nome di un malware e contenente oltre 16 milioni di record, al più grande, probabilmente collegato a utenti di lingua portoghese, che supera i 3,5 miliardi di credenziali. Alcuni dataset sono stati denominati in modo generico ("logins", "credentials"), altri invece suggeriscono l’origine geografica o il servizio colpito, come nel caso del dataset da 455 milioni di record riferito alla Federazione Russa o quello da 60 milioni dedicato a Telegram.

La struttura dei dati è particolarmente chiara: URL, nome utente/email e password, spesso accompagnati da token, cookie e metadati. Questo schema di compilazione è affine al modo in cui i moderni infostealer registrano il loro "bottino". E ciò testimonierebbe che la maggior parte dei dati proviene proprio da questi malware, assieme a strumenti di credential stuffing. Una parte dei login esposti sarebbe poi costituita dal materiale proveniente da altre fughe di dati. La presenza di token e cookie rende questi dati particolarmente pericolosi, perché possono consentire di aggirare anche sistemi di autenticazione a più fattori.

Il rischio non è solo teorico: phishing, furto d’identità e compromissione delle email aziendali sono solo alcune delle minacce concrete che possono scaturire dall’utilizzo di queste informazioni. I criminali informatici, grazie a raccolte di questa portata, possono lanciare attacchi su scala globale e considerando la mole impressionante di credenziali esposte, anche un tasso di successo inferiore all’1% significherebbe la compromissione di milioni di account. La struttura dei dati, inoltre, ne consente un facile impiego anche da parte di malintenzionati alle prime armi.

Chiaramente, è bene specificare, non è possibile stabilire con esattezza il numero di utenti effettivamente coinvolti, sia per la presenza di record sovrapposti tra i vari dataset sia per il fatto che verosimilmente più account potrebbero far capo ad un singolo utente. I ricercatori però sottolineano che nonostante la presenza di dati provenienti, come detto, anche da "leak" precedenti, vi siano anche informazioni nuove, recenti e immediatamente utilizzabili.

I dataset sarebbero rimasti esposti solo per un periodo di tempo limitato, anche se ovviamente non è possibile sapere chi abbia potuto effettivamente accedervi e tantomeno chi sia la mano dietro a tutto ciò. L'aspetto però più preoccupante è che i ricercatori evidenziano che nuovi dataset emergono e continuano ad emergere a poche settimane di distanza l'uno dall'altro, a testimonianza della gravità della minaccia degli infostealer in questo momento storico. 

Le buone pratiche di sicurezza riducono il rischio di incidenti

A valle di tutto ciò non si può fare altro che rinnovare l'invito ad una più attenta e proattiva gestione della sicurezza legata alla propria presenza online, condividendo le pratiche già suggerite in altre occasioni simili a questa: affidarsi a password forti e univoche per ogni servizio, abilitare l'autenticazione a più fattori ogni volta che sia possibile, considerare sempre con massima attenzione (anche al limite della paranoia) ogni possibile attività sospetta, monitorare i propri sistemi alla ricerca di malware, e praticare un cambio di password nel caso in cui vi sia qualche sospetto relativo ad un account. E' inoltre lecito immaginare che una parte delle credenziali esposte sia stata originata da campagne di phishing, e anche in questo caso abbiamo già avuto modo più volte di suggerire alcune buone pratiche di sicurezza: non aprire mai nessun link presente in messaggi inviati da sconosciuti, e controllare con la massima attenzione i messaggi provenienti da mittenti conosciuti o affidabili quando ci viene richiesta un'azione specifica. Vale sempre la regola di collegarsi manualmente ad un account tramite il sito web ufficiale del dato servizio invece di cliccare su un link presente in un messaggio. Si tratta di piccoli accorgimenti che richiedono un poco di impegno, ma che possono fare una grande differenza per la protezione dei nostri account personali e, di riflesso, della nostra presenza su Internet.