Collection #1: 21 milioni di password online. C'è anche la tua?

Collection #1: 21 milioni di password online. C'è anche la tua?

Oltre 87GB di informazioni costituite da username e password sono state esposte online, composte da una raccolta delle violazioni di sicurezza avvenute nel recente passato. E non è finita qui...

di pubblicata il , alle 16:41 nel canale Sicurezza
 

"Collection #1" è l'ultimo, lunghissimo, elenco di combinazioni username/password che sono finiti online nelle scorse ore: si tratta di un elenco di oltre 2,7 miliardi di linee, composto raccogliendo il bottino di svariate violazioni e incidenti di sicurezza avvenuti negli ultimi anni (alcuni elementi risalgono con certezza al 2015, ma ve ne sono altri che potrebbero risalire addirittura al 2008) e che hanno coinvolto migliaia di realtà differenti. Nell'elenco si trovano un totale di oltre 1 miliardo e 160 milioni di combinazioni uniche username/password. Username che per lo più sono indirizzi email: ce ne sono quasi 773 milioni unici, mentre le password uniche sono 21 milioni.

E' il ricercatore di sicurezza Troy Hunt, fondatore e gestore del servizio Have I Been Pwned ad aver fatto luce sull'accaduto. Hunt spiega che nei giorni scorsi è stata portata alla sua attenzione la presenza di una considerevole raccolta di file sul servizio di cloud-sharing MEGA: si è trattato di oltre 12 mila file per un totale che supera gli 87GB di informazioni. Informazioni che sono state pubblicate anche su un forum di hacking in maniera facilmente consultabile. La cartella di root presente su Mega è chiamata "Collection #1", nome che Hunt ha preso a prestito per battezzare questo nuovo episodio. Ma non è finita qui: dopo che Hunt ha completato le sue indagini su questa grande raccolta è venuto a conoscenza di altre quattro "Collection", a cui sta lavorando. In totale le cinque raccolte contengono oltre 1TB di informazioni.

Data la complessità dell'argomento, abbiamo deciso di trattarlo schematicamente in forma di FAQ, rimandando coloro i quali desiderassero approfondire la vicenda al post che Troy Hunt ha pubblicato sul suo blog: The 773 Million Record "Collection #1" Data Breach .

  1. Che cos'è Collection #1?


    E' un lungo elenco di combinazioni username/password, che ignoti hanno composto raccogliendo gli esiti di svariate violazioni di sicurezza avvenute nel passato più o meno recente. L'elenco consta di oltre 2,7 miliardi di linee, per un totale di oltre 1 miliardo e 160 milioni di combinazioni username/password uniche, quasi 773 milioni di indirizzi email unici e oltre 21 milioni di password uniche. Le password presenti sono per lo più de-hashed, cioè in testo semplice.
  2. Dove si trova questa raccolta?


    E' stata condivisa da ignoti sul servizio di cloud-sharing MEGA. Successivamente è stata rimossa, ma le informazioni sono comunque già state pubblicate su un forum di hacking.
  3. Da dove vengono queste combinazioni?


    E' necessario usare cautela: all'interno dell'enorme raccolta vi sono informazioni provenienti da violazioni note, ma non è da escludere la presenza di elementi attribuiti erroneamente a servizi o realtà che non sono mai state coinvolte in incidenti di sicurezza. In totale, comunque, sarebbero circa 2890 i siti/servizi da cui provengono le combinazioni username/password.
  4. Quando si sono verificate queste violazioni?


    La violazione meno recente identificabile con ragionevole certezza è quella del servizio 000webhost, avvenuta nel 2015. Vi sono però altri elementi che suggeriscono la presenza di materiale risalente al 2008. Sono presenti i bottini di vari incidenti di sicurezza avvenuti in momenti diversi, anche fino a pochi mesi fa.
  5. Come posso sapere se un mio username (email) è presente nell'elenco?


    Il sito Have I Been Pwned, gestito dal ricercatore di sicurezza Troy Hunt, permette di scoprire se il nostro indirizzo email è presente nell'elenco. Basta inserirlo nell'apposito campo e il sistema verificherà l'eventuale presenza all'interno della lista, indicando quale sia la possibile origine della violazione.
  6. La mia email è presente nell'elenco! Cosa vuol dire? Mi devo preoccupare?


    Se trovi il tuo indirizzo email nell'elenco significa che sei iscritto ad un servizio che nel corso di questi anni è stato vittima di una violazione di sicurezza. Non è necessariamente sintomo del fatto che la tua casella di posta sia stata violata o che altri tuoi account siano stati violati. Se riutilizzi la stessa combinazione di username e password su vari servizi, è bene correre al riparo al più presto.
  7. Come posso sapere quali delle mie password è stata esposta?


    Troy Hunt ha messo a disposizione anche Pwned Password che permette di scoprire se la nostra password è presente nell'elenco. Nel caso lo fosse, è imperativo cambiarla al più presto su qualsiasi servizio sia utilizzata.
  8. Quali rischi corro se i miei username e password sono stati esposti?


    Il rischio più frequente è quello di finire coinvolto in una campagna di "Credential Stuffing". E' l'inserimento automatizzato di combinazioni username/password in svariati servizi, per tentare di prendere possesso di account. E' una forma di attacco efficace specie contro gli utenti che riutilizzano in maniera seriale la stessa combinazione su più servizi differenti: violato un servizo, anche gli altri sono vulnerabili.
  9. Cosa posso fare se trovo i miei username o password nell'elenco?


    Come prima cosa, cambiare password. Ma attenzione, se utilizzi le stesse password per vari servizi è imperativo cambiare approccio: è consigliabile l'uso di un password manager (che semplifica la vita), oppure armarsi di pazienza ed elaborare password uniche per ogni account e scriverle a mano su un quaderno da conservare in un luogo sicuro. E attivare, ogni volta che sia possibile, l'autenticazione a due fattori.
  10. Faccio già uso di password uniche su ciascun servizio, come faccio a sapere quale password devo cambiare?


    Se fai uso del gestore di password 1Password puoi usare la funzionalità Watchtower che verifica automaticamente l'eventuale presenza di password all'interno dell'elenco interfacciandosi con PwnedPassword. In alternativa è possibile, sfruttando le API messe a disposizione da Hunt, eseguire una verifica seguendo le modalità indicate in questa guida.
  11. Mi posso fidare di Have I Been Pwned e Pwned Password?


    Sì. Sono servizi gestiti dal ricercatore di sicurezza Troy Hunt (qui il profilo Linkedin). Su Have I Been Pwned e Pwned Password username e password non sono mai salvati assieme, e le stringhe di testo inserite dall'utente che effettua la verifica sono anonimizzate e non vengono in alcun modo salvate.
24 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
omerook18 Gennaio 2019, 17:01 #1
non ho capito! quindi se ho il dubbio che la mia password sia finita in quell archivio gliela devo dare? cosi sono certo che dopo ce la hanno, bene
stiamo all abc del hacker, se ti serve una password chiedila!
DevilsAdvocate18 Gennaio 2019, 17:17 #2
Si fa un po' ridere..... gli dai un indirizzo email, dovrebbe restituirti il nome del servizio dove sei stato hackerato oppure dirti che è proprio la mail ad essere compromessa....
futu|2e18 Gennaio 2019, 17:21 #3
Troy Hunt ha messo a disposizione anche Pwned Password che permette di scoprire se la nostra password è presente nell'elenco. Nel caso lo fosse, è imperativo cambiarla al più presto su qualsiasi servizio sia utilizzata.


State sicuri che gliela scrivo, ma stiamo a scherzà?
futu|2e18 Gennaio 2019, 17:26 #4
Non dovreste neanche dare visibilità ad un servizio così.
Korn18 Gennaio 2019, 18:38 #5
password cazzo This password has been seen 13.549 times before
password tuamadret***a This password has been seen 12 times before
Ryddyck18 Gennaio 2019, 18:48 #6
Guardate che Troy Hunt è una persona abbastanza affidabile. Per il resto dovreste inserire l'indirizzo email, la password è superflua se è già presente nella Collection#1.
Se non vi fidate potete sempre fare una ricerca manuale tramite https://pastebin.com/UsxU4gXA (c'è di mezzo pure una università italiana)
omerook18 Gennaio 2019, 18:53 #7
peccato che uno magari verifica la pass dopo aver controllato la email e li zacchetteee.
El Alquimista18 Gennaio 2019, 18:54 #8
Originariamente inviato da: Korn
password cazzo This password has been seen 13.549 times before
password tuamadret***a This password has been seen 12 times before


Ryddyck18 Gennaio 2019, 18:54 #9
Originariamente inviato da: omerook
peccato che uno magari verifica la pass dopo aver controllato la email e li zacchetteee.

Beh in qualunque caso il tuo account è stato esposto da tempo, zacchetteeee l'hanno fatto molto tempo prima che tu potessi verificarlo
ryo858518 Gennaio 2019, 18:55 #10
Purtroppo la mia mail (una delle mie primarie) a quanto pare è presente (l'altra che importante invece no).. immagino per colpa della "breccia" di Dropbox di qualche anno fa. Comunque con la verifica in 2 passaggi dovrei essere apposto

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^