NEWS

Collection #2-5: 2.2 miliardi di credenziali da scaricare gratis

Qualche settimana fa, alcuni ricercatori hanno iniziato a segnalare la presenza di un database di credenziali rubate liberamente scaricabile dal servizio di download Mega. Una paziente opera di riorganizzazione e analisi del contenuto compiuta da Troy Hunt ha rivelato che si trattava di un enorme database da oltre 770 milioni di indirizzi di email, accompagnati da una ventina di milioni di password. Il nome dato a quel database, Collection #1, era di cattivo auspicio perché lasciava intravedere la possibilità che ne arrivasse una seconda e, magari, una terza.

Come ci si aspettava, è quindi arrivata la seconda. Altri 2,2 miliardi di righe di credenziali, non è chiaro quante abbinate a una password, che hanno esposto un altro bel po' di utenti. Il database è stato scoperto dai ricercatori di Hasso Plattner Institute a Potsdam, in Germania, e sebbene moltissimi di quei dati fossero già noti, gli esperti hanno segnalato che ben 661 milioni di indirizzi non era presente nel primo Collection#1 e 750 milioni non erano presenti nel loro database di credenziali rubate.

Sulla qualità di questi dati si sa molto poco. Non è possibile risalire a quanti di quei dati siano troppo vecchi per poter essere usati ancora su uno o più siti, ma di sicuro i criminali che hanno messo le mani sul database sguinzaglieranno una serie di bot su Internet per provare a usarle e verificare quali siano ancora buone per prendere il controllo di qualche account.

La cosa migliore da fare, quando ci iscriviamo a un sito, sarebbe quella di attivare l'autenticazione a due fattori, ovvero la possibilità di entrare aggiungendo un codice ricevuto via sms o in altro modo alla solita combinazione di username e password. In questo modo, si evita completamente il rischio abbinato agli attacchi automatici che di solito diventano molto numerosi in seguito a grandi fughe di dati come quelle che stiamo vedendo in queste settimane.

Se non abbiamo la possibilità di usare l'autenticazione a due fattori, o non l'abbiamo attivata in tempi non sospetti, è una buona idea quella di cambiare le password dei servizi più importanti. A questo indirizzo, che corrisponde a un affidabile sito web dell'Hasso Platter Institute, si può verificare se uno o più dei nostri indirizzi mail era contenuto nella collection appena apparsa o esposto tramite altri mezzi.

Fonte:Il Sole 24 Ore

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Sei stressato? il tuo smartwatch te lo dirà, ma attenzione alla privacy
Next Reddito di cittadinanza: il sito istituzionale “regala” dati a Google e Microsoft?

Il presidente di Federprivacy a Rai Parlamento

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy