Una vagonata di indirizzi mail

Una vagonata di indirizzi mail

Recentemente è venuta allo scoperto l’esistenza in rete di archivi contenenti milioni di indirizzi di mail con le associate password. Un’enorme rubrica di indirizzi con dati di milioni di utenti.

I numeri sono di per sé inquietanti:

  • Collection #1 oltre 772 milioni di indirizzi e-mail e 22 milioni di password
  • Collection #2-5 oltre 2,2 miliardi di nomi utente e password associati

Entrambe le banche date di indirizzi sono disponibili gratuitamente nel black market su forum e siti [vedi l’articolo Maxi furto di dati online: 773 milioni di email e 21 milioni di password in un archivio. Gli esperti: “Cambiatele”].

L’associazione dei nomi agli archivi è frutto del ricercatore di sicurezza Troy Hunt. Le denominazioni provengono dal nome della cartella in cui erano archiviati.

La bontà delle informazioni presenti nelle due Collection è stata accertata dagli esperti di sicurezza che dichiarano: “sono pubblicazioni di dati trafugati durante molteplici operazioni di hacking”.

Certamente l’origine di questi dati è frutto di “data breach”.

Come utenti della rete si può essere bravi e attenti sia nella scelta della password sia nel loro cambio periodico, ma nulla si può se è trafugata dal sito a cui l’abbiamo affidata.

A cosa serve e come può essere utilizzata questa mole di dati?

Una volta ripuliti, gli archivi delle mail diventano utili per le società di email marketing commerciale.

Non arrivando fino allo spamming, cioè all’invio di messaggi di posta elettronica ripetuti ad alta frequenza così da renderli indesiderati, l’utilizzo dei dati degli archivi è quello di accrescere gli indirizzi di contatto delle banche dati di email delle società di marketing.

Le società che li utilizzano direttamente non possono certo essere considerate etiche in quanto, come riporta il Regolamento della Privacy, l’indirizzo email di un soggetto può essere utilizzato per invio di posta mail a carattere commerciale solo previo consenso. Ovviamente gli indirizzi così catturati sono privi di consenso. Le società devono inviare la email al fine di ricevere il consenso all’invio di informazioni a carattere commerciale. Se il consenso è negato devono cancellare l’indirizzo dai propri archivi.

Le banche Collection sono anche utili per attaccare pubbliche amministrazioni, banche, industrie, aziende varie, come pure i conti bancari dei soggetti presi di mira, siano essi società o singoli individui.

Ad esempio sono molti i siti web che hanno posto le credenziali di accesso con l’indirizzo email e la password abbinata a questo. Inoltre, come più volte detto, la pigrizia a non cambiare la password per paura di scordarla porta molti a modificarla di rado e a utilizzare la medesima su più accessi.

Le due Collection sono quindi ben accette da soggetti non etici che così hanno target di vario genere.

Sicuramente molti dati delle Collection sono vecchi e altri non veritieri, ma certamente sono un segnale da non trascurare, per questo l’esperto di sicurezza informatica Troy Hunt ha creato il sito HIBP che dal 4 dicembre 2013 consente di verificare se i propri account sono stati rubati. Il sito è all’indirizzo: https://haveibeenpwned.com/

(HIBP, sta per “have i been pwned?” con “Pwned” pronunciato come “poned”)

Come l’esperto dichiara, il sito raccoglie, in un archivio consultabile, le email apparse negli archivi presenti nella parte oscura della rete su cui è riuscito a mettere le mani.

Le informazioni presenti nell’archivio: ripulite, analizzate e verificate, condensano centinaia di database trafugati.

HIBP è consultabile in maniera sicura e consente di verificare gli indirizzi di email compromessi a seguito di una violazione dei dati (data breach). Per sapere se un proprio indirizzo di email è stato violato, quindi è presente nell’archivio, basta digitarlo nell’apposito spazio di HIBP.

La risposta sarà:

  • Oh no — pwned!
  • Good news — no pwnage found!

Nel primo caso l’indirizzo mail è presente in almeno una delle raccolte HIBP.

Se la risposta è positiva, niente panico! Dobbiamo anche considerare che gli indirizzi mail di lavoro o meno sono presenti sui biglietti da visita e in molti altri documenti ufficiali o di minor peso.

Non potendo cambiare l’indirizzo si deve solo fare attenzione alle email che si ricevono discernendo fra quelle buone e quelle meno buone. Oltre accertarsi che il server email abbia un valido prodotto <antispam>.

HIBP ha poi una sezione che consente di verificare se la password è stata violata: https://haveibeenpwned.com/Passwords

Anche qui è possibile scriverla ottenendo una delle seguenti risposte:

  • Oh no — pwned!
  • Good news — no pwnage found!

Ovviamente in entrambi i casi è bene cambiare la password.

Al riguardo segnalo l’interessante articolo apparso su “key4biz”: Come ricordare password complesse senza l’utilizzo dei tool. Il sito propone come ricordare le password senza l’utilizzo dei tool.

“Sì alle combinazioni uniche e facili da ricordare, basate su una stringa e associazioni di idee, no a banalità e complessità”. Per sfruttare la potenza dell’associazione di idee i passi da compiere sono:

  1. Pensare ad una frase, al testo di una canzone, alle citazioni di un film, ad una filastrocca o a qualcosa di simile, che sia facile da ricordare;
  2. Prendere la prima lettera delle prime tre o prime cinque parole;
  3. Aggiungere, tra una lettera e l’altra, un carattere speciale (ad esempio: #, @, / e simili).

“In caso di necessità di una password per uno degli account online in uso (ad esempio per Facebook, Twitter, eBay, per i siti di dating, per l’online banking, per lo shopping online o i siti di videogiochi…), si deve prendere nota della prima parola che si associa ad un determinato sito o ad una certa piattaforma”.

Infine cambiare periodicamente la password, almeno ogni 30/40 giorni, se non su tutti i siti almeno su quelli che si ritengono più sensibili.

Scritto da: Marcello Pistilli