Tutti conoscono Have I been pwned, un servizio del quale abbiamo spesso parlato che permette di conoscere se le proprie credenziali fossero state sottratte nel corso di qualche attacco sferrato nei confronti dei gestori dei vari servizi online.
L’ideatore di Have I been pwned, Troy Hunt, si guarda bene dal mettere in correlazione i nomi utente con le corrispondenti password degli utenti. A questo indirizzo è possibile cercare le password anziché i nomi utente ma, anche qui, non vengono offerte pubblicamente informazioni per risalire agli utenti che le utilizzano.
Nell’articolo Password violate o insicure: come verificare le proprie abbiamo addirittura presentato un espediente per verificare in blocco le proprie credenziali di accesso senza inviare alcun dato personale in rete.
In queste ore il Dipartimento della Giustizia USA, di concerto con le forze di polizia europee, ha comunicato di aver disposto il sequestro del sito WeLeakInfo.
Gli amministratori di WeLeakInfo (le indagini sono tutt’ora in corso) sono accusati di aver offerto accesso a pagamento a circa 12 miliardi di credenziali di accesso, indicizzate e rese ricercabili attraverso il motore integrato nel sito.
La differenza rispetto a WeLeakInfo è che, in questo caso, i record relativi a informazioni personali di utenti di tutto il mondo sono stati messi in correlazione diretta con una serie di dati riservati. Acquistando un pacchetto di abbonamento, chiunque poteva cercare credenziali di accesso, servizi sulle quali erano utilizzate e risalire a nomi e cognomi, numeri di telefono, indirizzi email.
Il nome a dominio sequestrato è ora sotto la custodia del governo federale sospendendo di fatto il funzionamento del sito web.
Le autorità hanno voluto porre fine al mercimonio legato alla commercializzazione di dati personali degli utenti, frutto di violazioni informatiche che hanno interessato migliaia di siti su scala planetaria nel corso di anni.
In un lungo post, gli amministratori di DeHashed – servizio simile – scrivevano ad agosto 2019 di aver vinto una complessa battaglia legale.
“Abbiamo sempre fatto del nostro meglio per essere sulla sponda legale: questo significa niente cracking delle password o acquisto/vendita/commercio di set di dati“, scrive l’autore del servizio. “Non abbiamo un prezzo eccessivo e non facciamo pagare la maggior parte dei servizi. La sicurezza dovrebbe essere gratuita, le persone non dovrebbero pagare per sentirsi al sicuro su Internet“.