Sono trascorsi appena pochi mesi da quando vi abbiamo parlato di COMB21, una raccolta di credenziali di accesso di utenti privati, professionisti e aziende di tutto il mondo composta da ben 3,2 miliardi di record.
In un popolare forum frequentato dalla comunità hacker è stato in queste ore pubblicato un archivio di password rubate ancora più imponente: si parla infatti di ben 8,4 miliardi di credenziali verosimilmente risultato dell’unione di più database composti in occasione di vari incidenti informatici subiti da fornitori di servizi online.
La raccolta di password è contenuta in un pesante file di testo da 100 GB ed è stata battezzata RockYou2021 dallo stesso autore, probabilmente con riferimento a uno dei più vasti attacchi lamentati da un’azienda impegnata nel mondo social: si chiamava appunto RockYou e sviluppava widget e applicazioni per MySpace prima e per Facebook poi.
Considerato che circa 4,7 miliardi di persone al mondo si collegano alla rete Internet (su un totale di 7,5 miliardi) la compilation RockYou2021 potrebbe includere praticamente almeno un account per ciascun individuo sulla faccia della Terra.
Controllare se le proprie password fossero in mano ai criminali informatici
La raccolta RockYou2021 è stata acquisita da CyberNews e caricata online insieme con altri database emersi in passato nei vari forum.
Visitando la pagina Personal Data Leak Check si possono digitare i propri indirizzi e numeri di telefono mobili (formato internazionale, per l’Italia digitare 39 seguito dal numero di telefono) nella casella di ricerca.
Il servizio di verifica indicherà se le password associate agli account sono state rubate e risultano presenti in uno o più raccolte (quindi non necessariamente in RockYou2021).
Se CyberNews Personal Data Leak Check dovesse mostrare il messaggio “Oh no! Your data has been leaked” non bisogna assolutamente farsi prendere dal panico. I più attenti alla sicurezza dei propri account e dei dati che essi conservano avranno già modificato le password.
A meno che non venga chiaramente specificato, non è inoltre dato sapere a quale servizio si riferisce la password presente nelle raccolte circolate in seno alla comunità hacker.
Il messaggio “Oh no! Your data has been leaked” non indica che la password rubata sia quella associata all’indirizzo email digitato dall’utente; può trattarsi di una password usata per accedere a un servizio online insieme con l’account email specificato.
Posto che la stessa password non va mai utilizzata su più servizi online, nel caso in cui l’inserimento dell’indirizzo nomeutente@gmail.com portasse alla visualizzazione del messaggio “Oh no! Your data has been leaked” non significa che la password per l’accesso ai servizi Google sia stata “razziata”. Se l’utente possessore dell’account nomeutente@gmail.com si fosse iscritto usando lo stesso indirizzo email al servizio XYZ e quest’ultimo avesse subito un attacco informatico, la password rubata sarebbe proprio quella associata al servizio XYZ.
Diversamente rispetto a Have I been pwned, CyberNews Personal Data Leak Check non permette di effettuare una verifica sulle password ma solo sui nomi degli account e sui numeri di telefono.
Se si fosse poco abituati a cambiare periodicamente le proprie password, nel caso in cui comparisse il messaggio “Oh no! Your data has been leaked“, sarà importante modificare le password utilizzate sui vari account online associato allo stesso indirizzo email e abilitare l’autenticazione a due fattori (2FA) soprattutto sui servizi coi quali si gestiscono dati personali e informazioni sensibili.
Per aiutare gli utenti a proteggere i loro dati Google ha intenzione di attivare la verifica in due passaggi per tutti. Tanti servizi online permettono di usare le app Microsoft Authenticator e Google Authenticator per generare un token a scadenza breve sullo smartphone da usare per confermare l’accesso e superare l’autenticazione a due fattori.