Usare delle password molto complesse e robuste potrebbe non essere sufficiente per tutelare l’accesso ai propri account su internet.
La maggioranza delle password e degli account email viene recuperata in seguito ad attacchi diretti a siti web e servizi online che utilizziamo frequentemente, nonostante questi ultimi, conservino le password in forma criptata e protetta. Le password rubate, o meglio, gli account in forma di email + password vengono poi vendute da hacker nel “deep web” oppure pubblicate sui forum come database scaricabile su semplici file .txt.
Per questa ragione si sente spesso parlare di “breach” o di “leak” di database di password o di intere liste di indirizzi email che contengono milioni di account di persone che spesso sono completamente ignare del fatto che le loro password siano diventate improvvisamente pubbliche o semi-pubbliche.
Vedremo come verificare se una delle nostre password è stata rubata e se la sicurezza di uno dei nostri account è stata violata con attacchi del tipo descritto poc’anzi. Vi forniremo dei consigli universali e sempre validi per proteggere password e account e cosa fare se scopriamo che una password è stata violata.
In questo articolo: Controllare se un account è stato violato | Prevenire attacchi alle password | Cosa fare se una password è stata rubata | Incidenti più famosi aggiornati al 2024
Come controllare se un account è stato rubato
Potremmo facilmente recuperare noi stessi un database di account (sempre email e password) tramite torrent oppure navigare sui forum o nel deep web e poi verificare manualmente se la nostra password è presente “in chiaro” (come testo semplice). In realtà esiste un metodo molto più semplice e veloce che ci eviterà di scaricare gigabyte di file di testo solo per cercare un nostro username comprensivo di password.
haveibeenpwned.com è il servizio web che ci viene in aiuto e che raccoglie tutti i leak di database di password conosciuti e pubblici e offre la possibilità, una volta inserita un indirizzo email, di capire velocemente se l’account è stato compromesso.
L’utilizzo è semplice: sul il sito, inseriamo nel campo “email address” la mail (utilizzata come username) che vogliamo controllare e clicchiamo sul bottone “pwned?”.
Qualora il risultato presentato sia di colore rosso, significa che il nostro account e relativa password sono stati rubati e siamo stati indirettamente (visto che l’attacco non è stato indirizzato direttamente a noi) vittime di un “data breach”.
Un risultato di colore verde indica invece che la nostra email non è presente in alcun database ottenuto da un attacco ad un sito vulnerabile.
Il sito distingue tra “breach” e “pastes”. La differenza fra i due è la seguente:
breach
Significa che password e account, sono stati effettivamente trafugati online ed esposti da un sistema che aveva scarsi meccanismi di sicurezza e che è stato attaccato (vedere dopo per sapere quali sono i più famosi servizi e siti web compromessi del 2024). Procurarsi queste password, vuol dire scaricare un database da torrent o altri canali di distribuzione.
pastes
Vuol dire che l’informazione sensibile e che ci interessa è addirittura presente in forma pubblica su quei servizi che condividono testo online (come pastebin.com) e quindi di fatto disponibile a tutti senza alcuno sforzo; è sufficiente cercarla su google oppure avere i link diretto al file di testo con le password disponibili online.
E’ importante capire che anche se il risultato della verifica password è completamente in verde, non è assolutamente detto che il nostro account non sia stato rubato o che non sia disponibile in forma altra forma “privata”. Quello che haveibeenpwned.com offre, è solo un servizio basato su dati pubblici, mentre un hacker o un gruppo, può decidere di tenere queste informazioni private e rivenderle o utilizzarle per altri scopi illeciti.
Oltre a questo, sappiate anche che il sito non mostra assolutamente la password in chiaro ma ci informa solamente del fatto che sia presente o meno in qualche db pubblico.
Continuate a leggere per capire come possiamo prevenire attacchi alle nostre password e cosa fare se scopriamo che siamo stati vittima di un attacco di tipo indiretto.
Prevenire attacchi alle password o agli account
Non possiamo sapere quanto sia sicuro un sito o a che livello di sicurezza si attestino i servizi online che usiamo o che abbiamo usato in passato. Tuttavia, ci sono delle semplici regole che possono limitare i danni o impedire totalmente ad un attaccante di scoprire una password.
- Usiamo password complesse
La regola di base è quella di usare password che non siano troppo semplici o ricavate da informazioni personali: data di nascita, nome, cognome, film preferito o cose simili. Dovremmo cercare di utilizzare quanto più possibile password casuali generate in maniera procedurale (vedi punti successivi) e verificare la sicurezza delle nostre password. - Attiviamo l’autenticazione a due passaggi
Il metodo migliore per proteggere un account è quello di usare un altro meccanismo di autenticazione oltre a quello classico formato da username (email) e password: l’autenticazione a due step (2FA). Si tratta di usare un elemento esterno di verifica (come un SMS sul cellulare) per effettuare il login anche dopo aver inserito l’email e la relativa password. In questo modo, anche se qualcuno è riesce a procurarsi tutte le informazioni sensibili, è altamente improbabile che abbia la possibilità di avere accesso anche al nostro telefono cellulare. E’ il sistema più sicuro al giorno d’oggi e non è un caso che le banche online e i sistemi di transizione su carta di credito lo rendano obbligatorio (nonostante per alcuni rappresenti una procedura tediosa). Leggete l’approfondimento dedicato all’autenticazione a due fattori: Autenticazione a due fattori: cos’è e come funziona. I servizi famosi compatibili con questo tipo d’accesso sono: Google, Facebook, Twitter, Yahoo, eBay, Amazon, Outlook e molti altri. - Password diverse per ogni sito o servizio online
Altra regola basilare spesso ignorata e sottovalutata da più. Il fatto che un sito sia stato compromesso e la nostra password trafugata potrebbe anche non significare nulla se si tratta di un servizio che non utilizziamo più da anni; il problema è che la stessa combinazione di username + password è spesso la stessa identica di quella utilizzata per altri siti ben più importanti! Non dobbiamo rischiare che a seguito di un attacco, vengano compromessi anche tutti gli account in nostro possesso perché (causa pigrizia) abbiamo utilizzato la stessa password ovunque. In questo caso ci vengono in aiuto i password manager del punto successivo. - Scegliere un buon password manager
Per aiutarci nel compito di generare una password abbastanza complessa e al contempo ricordare password diverse, ci vengono aiuto i sistemi di gestione delle password; i più sicuri e famosi sono 1Password (molto consigliato) e LastPass. Trattare questi programmi (disponibili anche come estensioni sul browser) richiederebbe un articolo approfondito e a se stante ma sappiate che ci permettono di ricevere notifiche dopo che un “data breach” (incidente) è stato reso pubblico e ci avvisano di prendere provvedimenti quando una nostra password risulta rubata e disponibile “pubblicamente”.
Sull’argomento password e sicurezza si potrebbero spendere fiumi di parole; in linea di massima, oltre ai consigli dati sopra, è sempre preferibile utilizzare un buon antivirus e proteggere la propria connessione tramite VPN: entrambi, sono dei sistemi per prevenire attacchi “diretti” alle nostre macchine piuttosto che attacchi “indiretti” (di cui abbiamo ampiamente parlato in questo articolo).
Cosa fare se un account è stato rubato
Scoperto che una nostra password o la combinazione di username e password è stata rubata e messa a disposizione pubblicamente, possiamo prendere degli accorgimenti. Ovviamente dobbiamo accorgerci in tempo della compromissione, motivo per il quale sono consigliate le notifiche dei password manager (vedere punto 4 del paragrafo precedente). Vediamo dei suggerimenti sulle azioni da intraprendere:
- Cambiamo password
E’ la prima cosa da fare: appurato che il sito X ha subito un attacco rivelando le nostre credenziali, dobbiamo immediatamente provvedere a cambiare password. Molti siti, dopo aver fatto un mea culpa, ci avviseranno loro stessi di attacchi e ci obbligheranno ad effettuare un reset della password. Spesso è utile anche cambiare la login (solitamente l’email), se il sito in questione lo permette. Leggete come cambiare password Gmail oppure cambiare password su Facebook per due dei siti più importanti. - Controlliamo se la combinazione di email e password è stata già usata
Dopo aver scoperto che il sito X ha rilasciato involontariamente user e password, dobbiamo controllare che le stesse non siano state utilizzate su altri siti. Un attaccante potrebbe approfittare delle informazioni di sito-compromesso per attaccare altro-sito provando la stessa combinazione di credenziali. Vedete anche quanto scritto al punto 3 del paragrafo precedente. Cambiamo quindi la password utilizzata anche sugli altri siti o servizi online. - Evitiamo il panico se non riusciamo ad accedere all’account rubato
Se ci accorgiamo che un nostro account con password è stato rubato, non dobbiamo entrare nel panico qualora non riuscissimo più ad accedere. E’ possibile che il sito stesso blocchi volontariamente l’accesso ad un account violato e richieda una verifica sull’indirizzo email per ripristinarlo. Capita anche che qualcuno è riuscito ad entrare con login e cambiare password; se siamo in possesso dell’email possiamo sempre generare una nuova password tramite reset.
Quali sono gli incidenti (data breach) più famosi aggiornati al 2024
Vediamo quali sono gli attacchi alle password portati a compimento fino a questo momento (mese di Novembre 2024). Vi informiamo che oltre a siti e app più o meno famosi, sono distribuiti anche dei veri e propri database di password. Questi database sono utilizzati e raccolti da hacker in forma di collezioni di gigabyte di file da scaricare.
Ad oggi, risultano quasi 11 miliardi gli account compressi con tanto di password rubate. L’ultimo attacco è quello che ha coinvolto Facebook ad Aprile del 2021. Per approfondimenti, guardate bleepingcomputer.
Uno dei precedenti attacchi aveva coinvolto ben 16 siti web (fonte) a Novembre del 2018:
Dubsmash (162 milioni), MyFitnessPal (151 milioni), MyHeritage (92milioni), ShareThis (41 milioni), HauteLook (28 milioni), Animoto (25 milioni), EyeEm (22 milioni), 8fit (20 milioni), Whitepages (18 milioni), Fotolog (16 milioni), 500px (15 milioni), Armor Games (11 milioni), BookMate (8 milioni), CoffeeMeetsBagel (6 milioni), Artsy (1 milioni), and DataCamp (oltre 700.000).
Attacchi a servizi web famosi che hanno subito incidenti ed esposto delle password:
- FacebookAd Aprile 2021 è stato pubblicato un database enorme di dati di utenti Facebook che tutti possono scaricare. Gli account trafugati con tutte le generalità, password e numeri di telefono sono ben 533 milioni (praticamene il 20% degli utenti iscritti a Facebook). Per trafugare i dati sensibili è stata utilizzata una vulnerabilità che Facebook aveva corretto nell’Agosto del 2019. Gli account italiani sarebbero 35.6 milioni.
- SIAELa Società Italiana degli Autori ed Editori a Novembre 2018 ha subito un attacco in cui sono stati trafugati 4GB di dati. Le password e gli account sono circa 14.000 (niente di significativo in confronto agli altri siti web ma ci coinvolgono direttamente in quanto italiani).
- LinkedInUn brutto colpo nel 2016 per il social dedicato al lavoro che ha portato a 164 milioni di email esposte con password in chiaro. In questo caso, la compromissione è stata resa pubblica dopo diversi anni.
- MySpaceRisale al 2008 circa uno degli attacchi più imponenti e che ha coinvolto il social network della musica ormai praticamente abbandonato dopo l’avvento di Facebook. 360 sono le milioni di password trafugate e vendute sul “black market” e poi rese pubbliche (nel 2016).
- DisqusSistema di commenti usato su WordPress e su molti siti. Si tratta di un furto di indirizzi email, password e username (circa 17.5 milioni) che si è venuto a sapere dopo 5 anni.
- DropboxIl noto sistema di cloud è stato attaccato nel 2012 e solo nel 2016 gli utenti sono stati avvisati di cambiare le proprie password. Fortunatamente oggi è disponibile l’autenticazione a due passaggi.
- tumblrPiattaforma di blogging poco usata nel nostro paese; l’attacco ha portato a 65 milioni di account con tanto di password compromessi.
- vBulletinSoftware in PHP per gestire forum online. In passato era molto utilizzata e nel 2015 è stata vittima di un incidente molto grave che, oltre alle password, ha esposto informazioni personali, identità sui social network e indirizzi ip.
- AdobeEnorme database di password criptate (153 milioni) con username e indirizzi email. Nel 2013 il colosso ha subito un importante attacco a causa di scarse protezioni di sicurezza.
- DailymotionPiattaforma di sharing di video in streaming che ha esposto nel 2016 oltre 85 milioni di account utenti con email e password.
- imgurCommunity per la condivisione di immagini online che ha subito un attacco nel 2013 venuto alla luce solo anni dopo (nel 2017).
- VKSocial network russo, utilizzato anche da noi per scopi più o meno leciti; nel 2012 ha subito un attacco che ha portato all’esposizione pubblica di circa 100 milioni di account.