Gli attacchi di tipo credential stuffing sono comunemente sfruttati da parte dei criminali informatici con il preciso obiettivo di provare ad accedere ad altri account online appartenenti agli stessi utenti. Come? Sfruttando uguali credenziali o password leggermente modificate rispetto a quelle rinvenute in attacchi condotti nei confronti dei fornitori di vari servizi online o nel corso di campagne phishing.
Moltissimi utenti, purtroppo, ancora oggi adoperano la stessa password su più servizi non soppesando il pericolo intrinseco di questa pratica: vedere l’articolo Creare password sicura: oggi ricorre il World Password Day.
E pensare che i meccanismi di autenticazione a due fattori permettono di spazzare via ogni rischio di aggressione e sottrazione dei propri dati personali: Verifica in due passaggi Google: solo 10% degli utenti la usano.
L’ideatore e amministratore del noto servizio Have i been pwned, Troy Hunt, ha fatto presente di aver individuato su un forum incentrato sulle tecniche di hacking e cracking un archivio contenente qualcosa come 773 milioni di indirizzi email unici e 21 milioni di password.
Dopo una prima analisi del contenuto dell’archivio, che Hunt ha battezzato “Collection #1“, il ricercatore ha potuto verificare come addirittura 140 milioni di indirizzi email e 10 milioni di password non fossero presenti nel database di Have I been pwned: si tratta quindi di dati del tutto nuovi che arrivano presumibilmente da fonti molto diverse (e quindi da singoli attacchi sferrati nel corso del tempo nei confronti di diversi soggetti).
I dati che si possono trovare nell’archivio Collection #1 appaiono molto accurati e gli utenti potrebbero facilmente individuare password che hanno utilizzato nel corso del tempo.
Cosa fare? Il consiglio migliore resta quello di utilizzare il servizio Have i been pwned: se, inserendo il proprio indirizzo email, venissero restituiti riferimenti a Collection #1 è bene attivarsi subito per modificare le password utilizzate sui vari servizi (account di posta, social, piattaforme online,…) in cui si utilizza lo stesso account di posta per il login. E attivare l’autenticazione a due fattori se ancora non si fosse provveduto in tal senso.
Questa pagina, sempre realizzata da Hunt, permette anche di cercare le proprie password – ad esempio quelle che si utilizzavano in passato -: senza abbinarle a un indirizzo email, il servizio indicherà se sono state oggetto di qualche furto di dati.
Maggiori informazioni in questa nota pubblicata dall’autore di Have i been pwned.