#Collection1 - refurtiva di e-mail e password 

foto della news

Troy Hunt, noto ricercatore di sicurezza informatica australiano e gestore del sito HaveIBeenPwned.com, portale dove chiunque può controllare se dei dati che lo riguardano sono stati diffusi online, è in questi giorni su tutte le pagine di news grazie alla sua sconcertante scoperta che ha raccolto in #Collection1, una cartella contenente 773 milioni di email e 21 milioni di password pubblicata dallo stesso Hunt sul sistema di archiviazione cloud MEGA. "Sembra una collezione di siti completamente random, per massimizzare il numero di credenziali a disposizione dei criminali informatici", ha dichiarato il ricercatore.

La cartella ha totalizzato oltre 12.000 file separati e oltre 87 GB di dati, che sono stati in parte socializzati su un forum di hacking.

MEGA

Sembra effettivamente essere una raccolta di moltissime data breach diverse. Dal momento che i dati sono stati rilasciati senza alcun commento da utenti anonimi, non è possibile sapere se davvero siano tutti frutto di data breach o se siano inclusi anche dati provenienti da campagne di hacking dirette a singoli individui. Quello che possiamo fare è guardare con occhio critico a quello che adesso è a disposizione di tutti. Il grosso problema dei data breach è che espongono le nostre informazioni in maniera indipendente dal nostro operato. Possiamo esser stati bravi e attenti finché vogliamo nella scelta della password, ma se questa viene rubata dal sito, possiamo farci poco. Chi può fare qualcosa, però, su come questi dati rubati vengono usati sono le aziende che forniscono servizi Internet. Gli attacchi di credential stuffing, infatti, vengono condotti in maniera automatica da server che usano i database rubati per cercare di accedere ai servizi web. Contro questi BOT, come vengono chiamati i programmi che compiono operazioni automatiche, sono disponibili delle difese che poche aziende ancora usano. Se tutti usassero delle tecnologie anti-bot, il problema del furto di credenziali si ridurrebbe moltisimo.

Il nostro consiglio è di verificare sul sito https://haveibeenpwned.com/ se il proprio account è stato violato e di cambiare immediatamente le password dei propri profili online, preferibilmente tramite un sistema di gestione della password e di usare, per Internet banking - pagamenti online - accesso ai social network, l'autentificazione a due fattori.

Fonte: https://bit.ly/2CwnBl9