22 Milioni di Password Rubate: ma è storia vecchia

Indice

Da qualche ora l’ANSA ha pubblicato l’ennesima notizia preoccupante nel campo della Cyber Security: 770.000.000 di indirizzi email rubate e oltre 22 milioni di password . Parliamo di credenziali, file, email e quanto altro ma in realtà di nuovo c’è molto poco…

A dire la verità la situazione è questa:

Si tratta di un enorme database da oltre 87 GigaByte con più di 12.000 file, in cui sono raccolti 773 milioni di indirizzi e-mail e quasi 22 milioni di password.

Fonte: Ansa

Si chiama #Collection 1 ed è l’ennesimo gigante archivio di dati trafugati da internet e, al di là della dimensione, non è un caso isolato: ci sono stati casi di database di password e caselle email rubate.

Perchè è una storia vecchia

Era il 23 giugno 2016 e su questo blog appariva un articolo sul Futuro delle Password: da quella data il problema dell’affidabilità delle password è cresciuto. Gli attacchi di Anonymous e di altri gruppi, hanno dimostrato l’inefficacia di questo mezzo di protezione. Quando la password è sicura, è possibile che non lo sia il server su cui è memorizzata ma, nella maggior parte dei casi la parola chiave è un termine ridicolmente semplice da scoprire.

Il Futuro

Sistemi come l’autenticazione a due fattori cambiano radicalmente il livello di sicurezza. Spostano il centro di sicurezza sul dispositivo mobile (token, smartphone, etc…) incaricato di generare la OTP (one time password). A sua volta questo dispositivo viene protetto in altri modi (impronte digitali, riconoscimento facciale, etc…).

La one time password è, al momento, uno degli strumenti più affidabili ma la biometria resta il traguardo più immediato e sicuro: l’unicità delle caratteristiche biometriche sono la chiave che gli esperti di sicurezza chiedono da tempo. I sensori costano poco, le impronte digitali vengono lette, il riconoscimento facciale funziona abbastanza bene e più andremo avanti e maggiori saranno i componenti biometrici letti. Qualcuno valuta di usare più elementi di sicurezza contemporaneamente: una OTP in aggiunta alle caratteristiche del volto o delle impronte.

È invece importante capire che l’hacker, generalmente, è un accumulatore di informazioni: un individuo in grado di fare dell’archivistica e della pazienza, due importanti virtù. Mentre l’utilizzatore finale dovrebbe capire che ciò che ha in mano non è più un semplice computer/smartphone/smartwatch o quanto altro, si tratta invece di diverse forme di computer, tutte potenzialmente in grado di accedere a dati sensibili e rilevanti per il proprietario ed atre persone.

Vi ricordo inoltre:

  • 3 miliardi di account di Yahoo e AOL rubati (LINK)
  • Over 25 million accounts stolen after Mail.ru forums hacked (LINK)

Parlando con Dario Buonocore ho avuto la conferma che non sono stati attaccati direttamente gli account di Yahoo o Gmail ma la provenienza sarebbe un portale che conteneva credenziali. È molto simile alla tipologia di attacco effettuato quando bucato il forum di Mail.ru. Un altro elemento di riflessione è che risulta complicato stabilire quanto siano recenti le informazioni contenute in questi pacchi.