Nel corso del tempo abbiamo più volte dato notizia di aggressori, con la conseguente sottrazione di dati personali, che hanno coinvolto fornitori di servizi online a vario livello.
Vi abbiamo parlato anche di Have I been Pwned, uno strumento che consente di sapere se i propri indirizzi email fossero stati coinvolti in qualche furto di dati, su server amministrati da terzi (data breach).
Have I been Pwned, come più volte rimarcato, non indica una violazione eventualmente subìta dall’account utente in sé bensì se i propri dati personali (indirizzi di posta elettronica, password, numeri di carte di credito, indirizzi e altre informazioni riservate) possano essere state razziate nel corso di qualche attacco condotto con successo verso qualche provider.
Si supponga di aver utilizzato un account Gmail per registrarsi su un servizio cloud (diversi da quelli che Google mette a disposizione) che permette la condivisione di contenuti online. Si ipotizzi che questo secondo servizio sia oggetto di un’aggressione informatica con la conseguente sottrazione di dati: se sull’account Gmail non si utilizza la stessa password di accesso, il suo contenuto è ovviamente al sicuro mentre potrebbero non esserlo i dati conferiti al servizio cloud di terze parti.
Ciò che è fondamentale, è usare password sicure per registrarsi su qualunque servizio e astenersi assolutamente dal riutilizzare le stesse password su più servizi: lo abbiamo spiegato anche negli articoli 42 milioni di credenziali di accesso inviate all’autore di Have i been pwned e Creare password sicura: oggi ricorre il World Password Day.
Mozilla, come avevamo anticipato qualche tempo fa, ha siglato una partnership con l’autore di Have I been Pwned e ha lanciato quest’oggi il nuovo servizio Firefox Monitor.
Rispetto a Have I been Pwned non c’è nulla di diverso, almeno allo stato attuale.
Puntando il browser sulla home page di Firefox Monitor e inserendo i propri indirizzi email nell’apposita casella di ricerca, è possibile controllare gli account di posta compaiano in qualche precedente data breach.
Il database al quale attinge Firefox Monitor è lo stesso di Have I been Pwned: potrà quindi beneficiare di tutti i futuri aggiornamenti.
Come nel caso di Have I been pwned e di Pwned Passwords (vedere Password rubate: un nuovo servizio dallo stesso autore di Have I been pwned), anche Firefox Monitor non gestisce l’indirizzo email dell’utente così com’è ma ne genera un hash che viene successivamente confrontato con quanto presente a database. In questo modo l’utente ha la certezza che neppure il suo indirizzo email possa essere condiviso con soggetti terzi.
Cliccando sul pulsante Sign up è possibile ricevere un’email direttamente da Mozilla nel caso in cui nuovi riferimenti ai propri account dovessero apparire all’interno del database di Have I been pwned.
Nel caso in cui Firefox Monitor dovesse mostrare il messaggio “Your accounts were compromised in the following breaches“, è bene effettuare alcuni passaggi:
– Controllare in occasione di quali data breach i propri dati sono stati sottratti da parte di terzi.
– Modificare la password utilizzata per accedere al servizio in questione.
– Attivare se possibile l’autenticazione a due fattori su tale servizio.
– Accertarsi che la stessa password non sia usata per autenticarsi su altri servizi ai quali ci si fosse precedentemente o successivamente registrati.
– Modificare immediatamente le password sui servizi dove si utilizzassero le stesse credenziali.
– Assicurarsi di usare password lunghe e complesse.
– Attivare l’autenticazione a due fattori sui servizi che permettono di farlo.
A questo punto resta da capire come Firefox Monitor verrà eventualmente integrato nel browser della fondazione: forse si sta pensando a fornire una notifica all’utente nel momento in cui digitasse un indirizzo email coinvolto in qualche furto di dati?