Collection #2-5, divulgati 2,2 miliardi di account e password via Torrent: come controllare se c'è anche il tuo

Collection #2-5, divulgati 2,2 miliardi di account e password via Torrent: come controllare se c'è anche il tuo

2,2 miliardi di combinazioni di nomi utente e password sono finiti sulla piattaforma di sharing Torrent attraverso le Collection #2-5. Nella pagina vi spieghiamo come controllare se anche il vostro account è compromesso

di pubblicata il , alle 11:01 nel canale Sicurezza
 

Non è passato molto tempo da quando vi abbiamo parlato di Collection #1, il più grande caso di account rubati e condivisi via internet con 773 milioni di indirizzi e-mail e 21 milioni di password. Il dump degli account compromessi è stato definito "Collection #1" e potete saperne di più attraverso il nostro approfondimento Collection #1: 21 milioni di password online. Nelle scorse ore sono stati diffuse le Collection #2-5 e i numeri sono impressionanti: 845 GB di dati rubati che includono 25 miliardi di voci e 2,2 miliardi di combinazioni di nomi utenti e password.

Come scrive Wired, gli account compromessi nelle Collection #2-5 sono più del doppio rispetto a quelli divulgati con la prima Collection. I numeri che abbiamo scritto poco sopra sono stati ricavati sulla base delle prime stime compiute dai ricercatori di sicurezza, e rappresentano un nuovo pericoloso record per quanto riguarda la "breach" più grande relativa a raccolte di dati sensibili degli utenti: "È la più grande collezione di dati rubati che abbiamo mai visto", è stato il commento di Chris Rouland, fondatore di Phopsphorus.io.

A peggiorare la situazione il fatto che la raccolta di dati non ha faticato a raggiungere il mercato nero, ed è già stata scaricata più di mille volte attraverso la rete di file sharing Torrent. Nella fattispecie il file contenente le "Collection #1-5" è stato mandato in seed (diffuso per il download da parte di altri utenti della piattaforma) da più di 130 persone che possedevano il dump dei dati, e al momento della stesura del pezzo da parte di Wired è stato scaricato più di mille volte: "Mai prima d'ora un quantitativo di informazioni del genere era diventato di pubblico dominio".

È comunque da notare che grossa parte delle informazioni raccolte sono relative ad un periodo precedente alle violazioni nei servizi Yahoo, LinkedIn e Dropbox, con i dati che adesso sono stati resi disponibili ad un pubblico più ampio e potenzialmente vastissimo. Ma, come spiega Rouland, il pericolo è che anche "hacker inesperti possono semplicemente provare le combinazioni di nomi utente e password trapelati in passato su qualsiasi sito pubblico nella speranza di carpire informazioni da utenti che incautamente hanno riutilizzato quelle password".

Come scoprire se un account è stato violato con le Collection #2-5?

Il metodo per scoprire se un account specifico è stato violato è sempre lo stesso: è necessario prima visitare il sito Have I Been Pwned, gestito dal ricercatore di sicurezza Troy Hunt e assolutamente sicuro, che permette di scoprire se un indirizzo email è presente nell'elenco. Poi è bene controllare se la propria password è compromessa con un altro strumento di Hunt: Pwned Password, che permette di scoprire la password inserita è presente nell'elenco. Cosa fare quindi se uno dei due dati è stato trafugato? È imperativo cambiare password e, se utilizzate le stesse password per tutto è consigliabile cambiare approccio. Come? Con ad esempio un password manager, oppure elaborando password uniche per ogni account cercando di ricordarle con la strategia mnemonica che meglio credete.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

15 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
acerbo01 Febbraio 2019, 11:31 #1
ho appena fatto un check, 2 dei miei 3 indirizzi email risultano compromessi ed anche una delle mie password, che fortunatamente avevo cambiato da molto tempo risulta compromessa.
Ho comunque cambiato nuovamente le password dei miei account, adesso no mi resta che controllare pure quelle di mia moglie.
futu|2e01 Febbraio 2019, 11:37 #2
Non andate a mettere le password in questi siti, per dio.
Ryddyck01 Febbraio 2019, 11:37 #3
Guardate che attualmente Hunt non ha aggiornato il sistema e non sono presenti le ulteriori collection. Si possono verificare invece le nuove collection su https://sec.hpi.de/ilc/search
Lo avevo già fatto presente qui https://www.hwupgrade.it/forum/show...mp;postcount=26
Originariamente inviato da: futu|2e
Non andate a mettere le password in questi siti, per dio.

Non si inseriscono le password ma solamente le mail...


La disinformazione qui dentro viaggia alla velocità della luce, mi raccomando... non correggete!11!
futu|2e01 Febbraio 2019, 11:41 #4
Poi è bene controllare se la propria password è compromessa con un altro strumento di Hunt: Pwned Password, che permette di scoprire la password inserita è presente nell'elenco.


.
Ryddyck01 Febbraio 2019, 11:44 #5
Originariamente inviato da: futu|2e
.

Sono due strumenti diversi
acerbo01 Febbraio 2019, 11:50 #6
Originariamente inviato da: futu|2e
Non andate a mettere le password in questi siti, per dio.



infatti manco io mi fido, ho fatto giusto un test con una vecchia password di qualche anni fà, di certo non testo quella che utilizzo attualmente

Originariamente inviato da: Ryddyck
Guardate che attualmente Hunt non ha aggiornato il sistema e non sono presenti le ulteriori collection. Si possono verificare invece le nuove collection su https://sec.hpi.de/ilc/search
Lo avevo già fatto presente qui https://www.hwupgrade.it/forum/show...mp;postcount=26

Non si inseriscono le password ma solamente le mail...

La disinformazione qui dentro viaggia alla velocità della luce, mi raccomando... non correggete!11!


no invece si mettono pure le password e come giustamente consiglia futu|2e non mi fiderei troppo a testare la coppia email/password ...
futu|2e01 Febbraio 2019, 11:55 #7
Originariamente inviato da: Ryddyck
Sono due strumenti diversi


Non vedo cosa ci azzecchi.
Ryddyck01 Febbraio 2019, 12:01 #8
Originariamente inviato da: acerbo
infatti manco io mi fido, ho fatto giusto un test con una vecchia password di qualche anni fà, di certo non testo quella che utilizzo attualmente

Ho postato pure come funzionasse il "cerca password compromesse" di Hunt, non mi avete calcolato. Se volete capire come funziona c'è il video in allegato nella vecchia discussione.

no invece si mettono pure le password e come giustamente consiglia futu|2e non mi fiderei troppo a testare la coppia email/password ...

Sono due servizi differenti!
Rendetevi conto che la lista delle password compromesse la potete pure scaricare!
Originariamente inviato da: futu|2e
Non vedo cosa ci azzecchi.

Ci azzecca il fatto che sono due cose differenti.
acerbo01 Febbraio 2019, 12:07 #9
un collega mi ha appena detto che ha scaricato la collection,
a sto punto conviene direttamente recuperarla e verificare i propri account senza passare per servizi web che lo fanno per voi
Ryddyck01 Febbraio 2019, 12:08 #10
Originariamente inviato da: acerbo
un collega mi ha appena detto che ha scaricato la collection,
a sto punto conviene direttamente recuperarla e verificare i propri account senza passare per servizi web che lo fanno per voi

Quale?
È quasi un tera di roba...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^