Al giorno d’oggi gli utenti dispongono di decine di account online, ciascuno di essi protetti con username e password. Contemporaneamente, il numero degli attacchi sferrati annualmente agli account cresce ogni anno con un ritmo preoccupante.
Già alcuni mesi fa gli sviluppatori di Mozilla avevano annunciato l’integrazione in Firefox di una nuova funzionalità che informerà gli utenti quando un sito web fosse stato in passato oggetto di un’aggressione, con la conseguente sottrazione di dati sensibili.
Firefox farà riferimento al database gestito dal noto sito Have I been pwned: il servizio aiuta a scoprire se le credenziali degli account utilizzati per l’accesso a vari siti web possano essere già nelle mani di spammer e malintenzionati.
Digitando il proprio nome utente o il proprio indirizzo email nella home page del servizio Have I been pwned, si può verificare se i dati di accesso al corrispondente account fossero stati sottratti nell’ambito di qualche aggressione sferrata nei confronti dei gestori dei vari servizi online.
Se, scrivendo il proprio nome utente o l’email nell’apposita casella di ricerca su Have I been pwned si ricevesse il messaggio “Oh, no pwned” non significa necessariamente che le credenziali d’accesso all’account principale siano state trafugate. Piuttosto, è certo che alcuni dati personali (comprese la password per l’accesso a servizi terzi, quando esplicitamente specificato) siano stati sottratti.
Si supponga di aver specificato un indirizzo email @gmail.com per registrarsi al servizio “ABC”. Se un aggressore fosse riuscito ad attaccare i server del servizio “ABC” verosimilmente questi ha potuto impossessarsi del database con nomi utente e password.
Egli avrà quindi letto l’indirizzo email @gmail.com e si sarà impossessato della password per l’autenticazione al servizio “ABC” o comunque del suo hash.
L’aggressore conoscerà al limite, quindi, la password per l’accesso al servizio “ABC”, saprà dell’esistenza dell’account @gmail.com ma non potrà conoscere la password per l’accesso all’account @gmail.com (sempre che l’utente non abbia commesso il gravissimo errore di usare la stessa password sia per proteggere @gmail.com che l’account sul sito del servizio “ABC”…).
Nel caso in cui Have I been pwned dovesse riportare il messaggio “Oh no, pwned“, il consiglio è quello di modificare immediatamente le credenziali di accesso per i servizi indicati.
Sia Troy Hunt, il ricercatore australiano autore e gestore del sito Have I been pwned, che Mozilla hanno confermato che la nuova funzionalità di Firefox capace di presentare agli utenti le informazioni sui data breach è praticamente pronta.
Firefox Monitor sarà in grado di controllare se i propri account fossero stati coinvolti in uno o più attacchi che hanno preso di mira i fornitori dei vari servizi Internet.
In caso affermativo, il nuovo strumento indicherà quali tipi di dati sono stati sottratti e fornirà consigli pratici ai fini della sicurezza.
Al momento Mozilla pensa di coinvolgere circa 250.000 utenti di Firefox (principalmente negli Stati Uniti) per provare in anteprima la nuova funzionalità. La distribuzione generale è prevista in tempi successivi, non appena conclusi positivamente i test.