In questi giorni si parla del Collection #1, un archivio di 733 milioni di indirizzi email e 21 milioni di password reso noto dall’australiano Troy Hunt - ideatore del sito Haveibeenpwned.com - dove è possibile verificare se sono stati diffusi i dati di accesso delle caselle di posta elettronica e non solo. Il gigantesco file da 87 GB era disponibile online sul servizio di archiviazione cloud MEGA e successivamente rimosso, ma abbiamo una buona e una cattiva notizia.
La buona notizia è che gran parte dell’archivio, più della metà, è formato da altrettanti archivi già conosciuti e datati. Non è il risultato di un recente e unico attacco informatico. Se già in precedenza avevate trovato la vostra email all’interno del sito Haveibeenpwned.com avrete sicuramente (si spera) più volte cambiato la password della vostra casella di posta e dei servizi ad essa associati (forum e siti vari). Questa dovrebbe essere la prassi, oltre ad aver impostato l’autenticazione a due fattori, ma immagino che oggi milioni di utenti, anche senza aver controllato, cambieranno i loro accessi.
Lo screenshot dell'archivio digitale “Collection #1"
Certo, è una buona notizia tra virgolette. La brutta notizia è che la diffusione dell’intero archivio è un enorme regalo per tutti coloro che compiono campagne di spam, di finta riscossione (pensate quando vi arriva un messaggio da una falsa Equitalia con la richiesta di pagamento), di phishing (nell'esempio sotto una finta richiesta di CartaSi) e per chi, purtroppo, è vittima di stalking.
Una finta email CartaSi per le attività di Phishing
L'archivio fa parte di una più grande collezione di archivi digitali messi in vendita dai pirati informatici. Per questo motivo viene chiamato Collection #1, semplicemente perché ce ne sono altri. All’interno ci sono una cinquantina di leak (in gergo "perdita di dati") di siti italiani, per di più board e forum che dimostrano che la sicurezza è pressoché nulla. Ci sarebbe una banca, che pare sia stata violata, e un servizio di una grande catena di distribuzione dove era possibile presentare la propria candidatura di lavoro. Bisognerebbe capire se le violazioni sono state comunicate al Garante.
Un risultato esempio del sito Haveibeenpwned.com
L’archivio, sarebbe stato inserito all’interno del database di Haveibeenpwned.com, il che ci fa capire che l’operazione di diffusione della notizia da parte di Troy Hunt porterà un picco di visite al sito da parte di utenti e aziende che desiderano verificare la loro sicurezza. Se provate a cercare un indirizzo email, per esempio quello di un’amministrazione locale o di una persona a voi cara, non è detto che sia un dato recente. Se invece trovate il vostro indirizzo email nel database non è per forza colpa vostra, in alcuni casi sono state recuperate le vostre email a seguito di una violazione di un forum o di un sito dove siete iscritti, ma è bene seguire tre semplici consigli per proteggersi:
- evitate di usare la stessa password per più servizi online (non usate la password della vostra email per accedere a un forum o qualsiasi altro servizio online)
- cambiate più spesso la password della vostra email e attivate l'autenticazione a due fattori dove possibile
- non affidatevi al 100% di un qualsiasi servizio di gestione password