Attacco hacker (Ansa)
Attacco hacker (Ansa)

Roma, 18 gennaio 2019 - Potrebbe trattarsi del più grande furto di email e password della storia. I numeri sono da brividi: 773 milioni di indirizzi web e 22 milioni di password. E' stato chiamato Collection #1 e si tratta di una specie di elenco del telefono, una 'master list' degli hacker, con dati e informazioni sensibili rubati a milioni di utenti. Noi compresi. Il primo a darne notizia è stato Odisseus su Twitter, esperto italiano di cybersecurity, ma a scoprire l'archivio è stato Troy Hunt, il ricercatore informatico autore del sito Have I been pwned (in italiano "sono stato bucato") che da anni conserva il risultato di successivi furti di dati ai danni di Yahoo!, Facebook, Twitter, Adobe, YouPorn e via dicendo. Ed è proprio attraverso questo servizio che si può verificare se i propri account sono stati compromessi. 

In caso di risposta affermativa, la domanda che segue è: come difendersi? "Innanzitutto è importantissimo diversificare le nostre password. Poi l'attivazione dell'autentificazione a due fattori - spiega Simone Cagol, ethical hacker di SEC4U - dà sicuramente all'utente una maggiore sicurezza. In pratica, oltre alla semplice password, si può attivare il sistema per cui si può richiedere l'invio di un pin sul numero di telefono cellulare. Anche Facebook e Amazon, ad esempio, forniscono questa possibilità. Le banche invece utlizzano i token fisici, ovvero quei dispositivi che generano codici numerici necessari per effettuare l'autenticazione".

I numeri riportati da Hunt sul proprio sito non rappresentano la reale portata del fenomeno, visto che sono stati ripuliti da doppioni e file inutilizzabili. I dati grezzi parlano di circa 2,7 miliardi di indirizzi mail e password, fra cui un miliardo di e-mail e relativi password combinati. Questa lunghissima lista, come ha spiegato lo stesso Troy Hunt, nasce dall'unione di elenchi minori ed è stata resa disponibile da sconosciuti tramite il sito di file sharing Mega. Sebbene i dati provengano da diverse violazioni avvenute nel corso degli ultimi anni, la notizia riaccende l'allarme sulla necessità di cambiare le password delle proprie caselle di posta elettronica con una certa frequenza. Anche perché il nome stesso, Collection #1, potrebbe far pensare a nuovi 'elenchi del telefono per hacker' in un prossimo futuro.

Ma gli utenti vorranno anche sapere come potrebbero essere utilizzati i dati rubati e quali sono i rischi. "Lo scopo principale del furto di mail e password è la cosiddetta profilazione - continua Cagol - ovvero la raccolta e l'elaborazione dei dati personali in modo da realizzare una categorizzazione degli individui" consentendo poi la fornitura (ovvero la vendita) di servizi personalizzati o l'invio di pubblicità comportamentale. Tradotto: capisco chi sei e ti dico cosa comprare. Il modo migliore? La sottrazione di dati sensibili, che vanno dalle mail alle informazioni riportate sui social network. "Dall'incrocio dei dati si può risalire al sesso o al codice fiscale - aggiunge -. Informazioni che possono essere rivendute".

Ma la 'difesa personale' purtroppo può avvenire solo a posteriori, controllando se la password è stata rubata e dunque cambiandola frequentemente e diversificandola. Le aziende violate hanno invece un obbligo che i singoli non hanno. "La recente normativa - conclude l'ethical hacker Cagol - impone una segnalazione a livello nazionale, ovvero le aziende sono obbligate a informare tutti quelli che usano il servizio offerto". Esempio? Se Amazon è stato attaccato, io fruitore del portale di e-commerce devo esserne a conoscenza per potermi difendere. Come? Naturalmente cambiando password.