È stato finalmente avviato il ritorno online di Libero Mail e Virgilio Mail: in un comunicato stampa pubblicato in data odierna, Italiaonline ha infatti comunicato che è in corso un progressivo ritorno alla normalità dei due servizi di posta elettronica. Nelle prossime ore, progressivamente, tutte le caselle torneranno pienamente attive.
Intanto, però, sfruttando l’indisponibilità della posta elettronica di Libero, proprio in queste ora gira in Rete un archivio di combo relative ad elenchi email e password basate sul dominio “@libero.it”. La situazione può generare rischi di furti di identità, ma prima analizziamo di cosa si tratta.
Indice degli argomenti
Data leak di account Libero: cosa sappiamo
Al momento, l’unica certezza confermata anche dalla stessa Italiaonline è che il disservizio di Libero Mail e Virgilio Mail non è stato causato da un attacco informatico.
Tuttavia, proprio questo scenario, che perdura da domenica e che ora sembra essere in via di risoluzione, ha fornito le basi per piccoli gruppi malevoli che su Telegram ne hanno approfittato per far girare vecchi data leak che già da tempo occupano le pagine di forums underground.
Il file contiene oltre 573.000 email di Libero, accoppiate ad una password, in chiaro. Le classiche combo che vengono collezionato per vendita illegale, tra gruppi criminali, al fine di generare altre frodi informatiche mirate.
Come detto, appunto, questo leak non è niente di nuovo ma è stato solo ripreso e condiviso proprio in seguito agli sviluppi del disservizio, cavalcando quindi la grande attenzione che si è creata attorno alla faccenda.
Dunque, da dove arriva il data leak? “Difficile dirlo”, dice Paolo Dal Checco a CyberSecurity360, “sono credenziali ottenute anche da attività di phishing di utenti Twitter che hanno email Libero, per esempio”.
Da altre analisi effettuate, abbiamo potuto riscontrare che altre plausibili origini di questo leak, vista la storica età, sono per esempio estrazione di dati, tramite tecniche di SQL Injection, operate su siti Web locali non concepiti secondo le basilari regole di sicurezza informatica.
Ma le password in chiaro? Purtroppo si è potuto riscontrare che in alcuni casi, anche recenti, molti siti Web archiviano le password degli utenti senza tecniche di hashing, restituendole quindi sempre in chiaro.
Il problema del riutilizzo di password uguali
Analizzando questo leak, in un’ottica di attualità, torna alla luce un annoso problema, che non sembra essere per niente risolto. L’utilizzo, da parte degli utenti, di password uguali su diversi servizi. Questa pratica, lo ricordiamo, è fortemente insicura e sconsigliata.
Quello che si è potuto notare, per esempio, è che di questa lista molte email sono state utilizzate per iscriversi a servizi differenti, come per esempio Twitter e, purtroppo, alcune di queste iscrizioni sono state effettuate utilizzando proprio la medesima password riportata nel leak, quindi appartenente (presumibilmente) ad altro servizio Web.
Sono state effettuate delle verifiche, su un campione di email presenti nel leak e, proprio prendendo in esame l’esempio di Twitter, quest’ultimo ha restituito diversi casi di positività all’uso di quelle password.
Ci sono anche buone notizie
Le buone notizie, in questo caso, arrivano proprio da Twitter stesso che, grazie all’implementazione, nei propri standard di sicurezza, dell’utilizzo di servizi di breach detector, ha potuto segnalare tutti gli utenti che conservano ancora una password presente su questo leak, con l’obbligo di cambiarla al successivo login utile.
Il fatto che il leak fosse datato (quindi presente nella maggior parte dei breach detector in circolazione) e che Twitter implementi questi controlli, ha mitigato e sta mitigando di molto il rischio di ulteriori frodi ai danni di questi 500mila utenti.
Ovviamente, questo non esclude eventuali altri pericoli, proprio perché se la pratica di utilizzare la medesima password per più servizi è intrinseca, può esserlo anche per altri servizi nel Web, differenti da Twitter. E se questi non dovessero implementare i controlli come fa Twitter, comporterebbe la possibilità del furto e frode ai danni di quegli utenti.
Oltre al lavoro offerto dai data breach detector, ricordiamo quanto sia sempre più indispensabile l’utilizzo dell’autenticazione a doppio fattore per rafforzare il primo passaggio con password.
Oppure, ancora una volta, azioni come quella di Twitter che, nel mitigare il danno, ha rilevato connessioni differenti dalle solite abitudini degli utenti interessati, inviando notifica via email e vincolando l’accesso a tale conferma.
Cosa impariamo da questa faccenda
La riflessione da fare, dopo queste verifiche, è dunque quella sul riutilizzo delle password. Oltre a concentrarci sulla robustezza di quest’ultima, evitiamo di utilizzare la medesima per servizi differenti, per ridurre il più possibile il rischio di frodi connesse ad eventuali furti che possono incorrere su queste credenziali.
Il danno, a seconda del servizio che viene scoperto, può essere notevole e portare a spiacevoli inconvenienti. Attivare sempre, dove possibile l’autenticazione multi fattore, è una buona strada per una corretta igiene digitale.
