Discovery of a new database of stolen credentials: violated 25 million password

È stato scoperto uno dei database di password rubate più grosso dell’ultimo periodo: a quanto pare è in circolazione su un noto forum di hacker da almeno quattro mesi, e include quasi 71 milioni di credenziali uniche, tra cui soprattutto 25 milioni di password che non erano mai state violate prima.

Il data dump è stato segnalato da Troy Hunt, expert on cybersecurity and hacker white hat, which he founded and runs the popular website Have I Been Pwned?, tramite il quale è possibile verificare se i propri account sono stati compromessi (il sito sostanzialmente colleziona e organizza tutti i data dump su cui Hunt riesce a mettere le mani). Riassumiamo le principali caratteristiche del database:

  • 319 files for a total of about 109 GB of data
  • 70.840.771 email addresses only
  • 427.308 users who are subscribed to the Have I Been Pwned involved
  • 65,03% degli indirizzi trapelati già facevano parte del database di Have I Been Pwned (dato ricavato basandosi su un campione di 1.000 indirizzi)

According To Hunt, il fatto che almeno un indirizzo su tre non fosse mai trapelato in precedenza è il principale indicatore della qualità di questo nuovo database. Nella maggior parte dei casi, i data dump contengono per lo più informazioni ridondanti e obsolete. Più vecchio è un account compromesso, più alte sono le possibilità che l’utente coinvolto si sia protetto (anche dietro obbligo del servizio, per esempio).

Hunt dice che il database include credenziali per svariati siti; tra i più grossi e diffusi troviamo Facebook, Roblox, Coinbase, Yammer, and Yahoo!. A quanto pare le informazioni sono state rubate tramite “stealer” (malware che viene installato sul dispositivo della vittima e riesce a carpire i dati quando l’utente li immette). Purtroppo è emerso anche questa volta che molti continuano a usare la stessa password per più servizi; anche se di per sé ha un buon livello di sicurezza (per esempio è lunga, include caratteri speciali e non è una parola che si trova nel dizionario), se trapela per un servizio trapela automaticamente per tutti quanti.

Nell’attesa che the passkey diventino ancora più diffuse e ci permettano finalmente di abbandonare le password, vale la pena ricordare qualche buona norma: verificare che il sito a cui si cerca di accedere sia legittimo e non sia un tentativo di frode/truffa, usare password lunghe, con caratteri speciali e sempre diverse per ogni servizio, avvalendosi di password manager per ricordarle tutte, e cercare di usare il più spesso possibile l’autenticazione a due fattori. Infine, è bene fare un controllo ogni tanto proprio su siti come Have I Been Pwned; se un account è stato compromesso è bene cambiare quanto prima la password.

Scroll to Top