Battezzata COMB21 si tratta della “compilation” di credenziali di accesso più ampia mai diffusa fino ad oggi.
Un gruppo di aggressori ha pubblicato in rete un archivio contenente ben 3,28 miliardi di password associate a 2,18 miliardi di indirizzi email unici.
La sigla COMB è stata scelta come acronimo di Compilation of Many Breaches mentre 21 è l’anno in cui si è verificata la pubblicazione dei file di testo contenenti coppie di username e password, complessivamente pesanti circa 100 GB (18,7 GB compressi in formato 7-Zip).
Vista la mole dei dati, sono ancora in corso le attività di verifica per accertare da quali data breach provengano le credenziali di accesso.
Destano però scalpore e preoccupazione i riferimenti ad account appartenenti a enti governativi e autorità di ogni Paese. Parlando degli Stati Uniti sono oltre 625.000 le password riferibili a indirizzi .gov mentre per quanto riguarda l’Italia sarebbero 2.600 gli account gov.it. Ben 26 milioni i nomi a dominio diversi presenti nell’archivio di COMB21 come si evince dall’analisi pubblicata da Syhunt.
Il file compresso contenente le password ospita tre script: count_total.sh
che offre un dato statistico di carattere generale, query.sh
per cercare specifici indirizzi email e sorter.sh
per ordinare i dati.
Nonostante gli sforzi compiuti negli ultimi anni dalle aziende e dalle varie organizzazioni per monitorare eventuali sottrazioni di dati, rafforzare la sicurezza delle applicazioni web, i meccanismi di login, passare a HTTPS e mitigare eventuali incidenti legati alla sicurezza informatica, la pubblicazione e la condivisione di “dump” come COMB21 rappresenta una costante minaccia.
Servizi come Have I been pwned (Com’è nato Have I been pwned, servizio per conoscere i dettagli sui data breach) consentono di scoprire se i propri indirizzi email o le proprie password siano coinvolte in qualche furto di dati avvenuto sui server dei fornitori dei servizi.
Anche Google offre strumenti integrati nel browser per controllare se le password fossero già nelle mani di eventuali aggressori: Google password: come controllare la sicurezza delle credenziali.
Non è dato sapere quanto i dati siano “freschi”: alcune credenziali potrebbero non essere più aggiornate ed è possibile che i proprietari degli account abbiano provveduto alla modifica delle credenziali.
Le cosiddette GAN (Generative Adversarial Network) sono reti neurali addestrate in maniera competitiva così che possano via via apprendere come generare nuovi dati aventi la stessa distribuzione di quelli usati nella fase di addestramento.
PassGAN sfrutta proprio questo principio: passando l’archivio di COMB21 alla rete neurale, l’intelligenza artificiale permette di ottenere preziose informazioni sulla struttura delle password e aumentare significativamente le abilità dei meccanismi che aiutano a forzare le credenziali altrui.
COMB21 rappresenta un nuovo monito per utenti e aziende: l’utilizzo dell’autenticazione a due fattori rappresenta uno degli strumenti migliori per difendersi da eventuali accessi non autorizzati.
Il consiglio è quello di attivare l’autenticazione a due fattori su tutti i servizi ove ciò sia possibile e soprattutto per proteggere gli account contenenti dati personali e informazioni sensibili: Autenticazione a due fattori: quali siti e servizi online la offrono.
L’utilizzo di applicazioni come Google Authenticator, Microsoft Authenticator e altre utili alla generazione di OTP (one-time-password) sui dispositivi mobili consente di abilitare l’autenticazione a due fattori sulla maggior parte dei servizi online.
In questo articolo una serie di suggerimenti per creare una password sicura.