Verità e bugie su Collection #1 e il grande furto di password
Chi indica la luna non può sperare che l’interlocutore non soffermi la sua attenzione sulla punta del dito. Serpeggia il timor panico per la diffusione di milioni di password “vintage” e la gente corre a cercar rimedi per parole chiave rubate già nel 2015 (e quindi potenzialmente utilizzate fraudolentemente da più di tre anni). La notizia di “Collection #1 "ha dato voce a chi l’altro ieri si è svegliato esperto di cyber security, forse in preda alla simpatica “sindrome dell’avvocato Giangiacomo Pignacorelli”.
A chi si domanda di quale patologia si tratti, la risposta è nelle immortali sequenze di “Troppo forte” di Carlo Verdone, in cui un sempre esilarante Alberto Sordi si esibisce in una arringa difensiva durante la quale perde il senno, per poi svegliarsi il giorno dopo ballerino di danza classica.
La sensazione di pericolo, alimentata da un disordinato vocìo incardinato sulle centinaia di milioni di mail e di password finite (da tempo) nelle mani sbagliate, ha indotto la vasta platea di utenti a visitare un sito in grado di dire se un determinato indirizzo era nella sfortunata lista dei depredati.
I soggetti che si sono rivolti a “Have I been pwned” hanno così contribuito ad arricchire il database di quel sito, che ha potuto abbinare il numero IP del visitatore alla (o alle) mail il cui indirizzo è stato indicato per conoscerne la sorte. In tal maniera chi aveva caselle di posta elettronica più o meno segrete (o comunque alternative) ha dato piena trasparenza sulla eventuali doppie o triple identità a disposizione.
Quelli che invece hanno scelto di verificare se una password è più o meno solida – utilizzando l’opportunità di misurarne la robustezza messa a disposizione dal medesimo (o da altri) sito web – ha compiuto un altro passo sbagliato.
Infatti il giochino della raccolta e dell’incrocio dei dati funziona anche qui. La parola chiave viene abbinata all’IP e alle e-mail: difficilmente l’utente digita una seqienza a casaccio e quindi quella combinazione può essere effettivamente la propria password o qualcosa di molto simile per composizione, sintassi o impostazione. Dall’altra parte di Internet quel che è stato inserito nelle diverse opzioni di consultazione del sito viene memorizzato, archiviato ed elaborato. Il risultato? Semplice. L’operazione di riscontro ha indebolito ulteriormente la riservatezza di chi andava a caccia di una possibilità di maggior tutela.
Chiunque adopera strumenti tecnologici sa di dover correre ai ripari e una frequente sostituzione delle password è senza dubbio una buona idea. Il cambiare sovente la parola chiave attutisce le conseguenze dei “data breach”, ovvero quelle operazioni con cui gli hacker – aperta una breccia nelle difese dei grandi sistemi informatici – saccheggiano in un colpo solo milioni di credenziali a chi conserva i dati di clienti ed utenti dei propri servizi online.
Se il proprio account rientra nella massa sottratta dai banditi, ma abbiamo avuto cura di procedere ad un “cambio password” ripetuto e ben serrato nel tempo, non c’è nulla da temere. La chiave che ci è stata sottratta sarà “vecchia” e non funzionerà più con la serratura virtuale che i malintenzionati speravano di aprire perché la combinazione alfanumerica è mutata nel frattempo (e magari più di una volta).
“Keep calm” è scritto su una valanga di gadget turistici londinesi. Sì, rilassiamoci e cerchiamo di diluire questa tensione semplicemente modificando le nostre abitudini.
È la storia della mela al giorno che toglie il medico di torno.
Invece di avere picchi di terrore ad ogni singolo allarme, proviamo a ricordarci costantemente che l’adozione e il rispetto di piccole precauzioni possono prevenire brutte sorprese.
Fonte: Startmagazine
(Umberto Rapetto intervistato al 7° Privacy Day Forum di Federprivacy)