Qualche giorno fa il sito Cybernews ha reso noto di aver trovato in rete un numero impressionante di dati personali relativi a miliardi di account. Questo enorme database è costituito da un file in formato TXT, pesante ben 100GB, con i dati personali di 8.459.060.239 account. Si tratta di un numero superiore a quello della intera popolazione mondiale che si assesta intorno ai 7,85 miliardi di persone. Il numero è ancora più sorprendente se consideriamo solo gli utenti che abbiano creato almeno un account su internet e che sono circa 4,7 miliardi di persone.
Il file in questione è stato denominato RockYou2021 con un chiaro riferimento alla società di applicazioni RockYou che recentemente ha subito un furto cibernetico di più di 30 milioni di credenziali di accesso. Il database non è però il frutto di un singolo attacco hacker ma la raccolta di dati ricavati da più furti di dati personali. Il file RockYou2021 comprende anche i dati della Compilation of Many Breaches che con 3,2 miliardi di credenziali deteneva dallo scorso Febbraio il record di dimensione di cyberfurti.
I dati presenti su RockYou2021 probabilmente sono il lavoro di anni di raccolta di informazioni riservate trapelate attraverso i numerosi trafugamenti in social network, banche e altre entità a cui accedere con delle credenziali. La maggior parte di dati sono costituiti da password che vanno da 6 a 20 caratteri. Non ci sono i nomi degli utenti proprietari di email e password, e questo potrebbe rassicurarci, ma non è così perché questi dati potrebbero essere usati per quelli che vengono definiti attacchi di forza bruta con cui gli hacker accedono a account protetti.
Ho pubblicato sul mio Canale Youtube un tutorial per controllare se i nostri dati sono presenti in questo database.
In fondo però questo file RockYou2021 potrebbe essere anche un aiuto per gli utenti, perché si potrà controllare se i nostri indirizzi email e i nostri numeri di telefono sono presenti in questo database e agire di conseguenza per proteggere gli account in cui sono utilizzati cambiando le password e attivando la verifica in due passaggi.
Il sito Cybernews ha messo a disposizione degli utenti uno strumento per controllare se dei nostri dati siano o meno presenti nel database. Si apre la pagina Personal Data Leak Check costituita da una casella di ricerca.
Si digita un indirizzo email per verificare se sia o meno presente nel database e si clicca su Check Now.
Se si visualizza la scritta rossa Oh no! Your data has benn leaked (Oh no! I tuoi dati sono stati trafugati) significa che la nostra email è presente nel database con accanto una password. Può essere una vecchia password e non quella più recente; in ogni caso è bene prendere la cosa sul serio e attivare le protezioni di cui dirò in seguito.
Da notare che viene fornito anche il nome del furto che ha portato i dati a essere resi pubblici. Nel mio caso quello denominato breachcomp2.0 che coinvolse Netflix, Gmail e Hotmail per un totale di 3,2 miliardi di dati.
Se invece viene mostrata la scritta verde We haven’t found your data among the leaked one (Non abbiamo trovato i tuoi dati tra quelli condivisi) significa che la nostra email non è andata ancora in possesso degli hacker.
Si possono controllare anche i nostri numeri di telefono, fissi o mobili. Ricordo che il prefisso telefonico per l'Italia è +39 e che quindi occorre digitare i numeri preceduti da tale prefisso e andare su Check Now.
Dopo aver digitato il numero di telefono del mio smartphone preceduto da +39 e essere andato su Check Now,
ho potuto verificare che si trova nel database, e che è stato trafugato attraverso Facebook, perché con tale numero ho dovuto verificare il mio account, per poter utilizzare le applicazioni del social network per antonomasia.
Il numero di telefono della utenza fissa invece non è presente nel database. Quando dei nostri dati sensibili sono diventati pubblici come bisogna comportarsi per evitare spiacevoli sorprese o addirittura furti di identità?
COME PROTEGGERE GLI ACCOUNT CHE SONO STATI VIOLATI
1) La prima cosa da fare è naturalmente quella di cambiare la password anche se lo abbiamo già fatto recentemente. È buona norma cambiare la password degli account più importanti una volta ogni sei mesi e tale termine è obbligatorio per le identità digitali della CIE, dello SPID e della PEC e per lo Home Banking.
2) Un'altra operazione importantissima da compiere è quella di abilitare la verifica in due passaggi, o verifica in due fattori o 2FA. Con questa attivazione, per accedere a un account da un nuovo browser o dispositivo, non basterà digitare indirizzo email e password ma si dovrà anche inserire un codice di sei cifre inviatoci per SMS al nostro cellulare oppure generato da una applicazione apposita. Facebook ha un generatore di codici integrato mentre con Google Authenticator e Microsoft Authenticator si può impostare la 2FA anche per altri account.
L'applicazione per la verifica in due passaggi di Google ci permette anche di esportare i codici da uno smartphone per poi importarli in quello che si è appena acquistato senza dover procedere a un'altra configurazione. L'esportazione creerà un QR Code che poi potrà essere scansionato dal nuovo cellulare.
3) La terza accortezza è quella di fare attenzione alle email di spam e soprattutto a quelle di phishing. Si tratta di messaggi con false informazioni di account o di conti bloccati con l'invito a digitarne gli estremi per il loro sblocco. Ovviamente tali dati verranno poi usati per fini criminali. Nessuna banca invita i clienti a comunicare il PIN o i dati della carta di credito e questo vale anche per servizi come quelli di Paypal, Amazon e eBay che sono i più copiati. Occorre guardare attentamente il mittente di queste email che è simile ma diverso a quelli ufficiali.
4) Infine è necessario creare delle password più forti e quindi meno semplici da craccare. Devono quindi essere costituite da almeno 8 caratteri con lettere maiuscole e minuscole, numeri e segni ortografici intervallati tra di loro.
Un aiuto può avvenire dai Password Manager o anche da browser come Chrome in cui salvare le password per poi recuperarle o modificarle, se serve. Con Chrome si possono anche creare in modo automatico.
Nessun commento :
Posta un commento
Non inserire link cliccabili altrimenti il commento verrà eliminato. Metti la spunta a Inviami notifiche per essere avvertito via email di nuovi commenti.
Info sulla Privacy