È stato ribattezzato “Compilation of Many Breaches” (COMB) l’archivio composto da più di 3,27 miliardi di coppie uniche di e-mail e password in chiaro che è stato messo online dal famoso forum di hacking RaidForums.
I dati sono archiviati e inseriti in un contenitore crittografato e protetto da password e sono il risultato di sottrazioni di dati e di attacchi effettuati in passato ai danni di Netflix, LinkedIn, Exploit.in, Bitcoin e numerose altre piattaforme online, anche se non è stato ancora chiarito il lasso temporale in cui sono avvenuti i singoli data breach e la conseguente esfiltrazione dei dati.
Secondo gli esperti di CyberNEWS, che per primi hanno dato notizia della effettiva esistenza dell’archivio COMB, non siamo di fronte ad una nuova violazione, ma piuttosto si tratta della più grande compilation di violazioni multiple. La struttura del nuovo archivio, infatti, è molto simile a quella della Breach Compilation del 2017: i dati di COMB sono organizzati per ordine alfabetico in una struttura ad albero e all’interno sono presenti anche gli stessi script utilizzabili per interrogare l’archivio.
Indice degli argomenti
Gli impatti possibili per gli utenti
La conseguenza più immediata rispetto ad un corpus di dati indicizzato e organizzato come quello presente nell’archivio “Compilation of Many Breaches” (COMB), è che gli hacker possano automatizzare il dirottamento di uno o più account o l’acquisizione degli account stessi, sfruttando la cronica abitudine della maggior parte degli utenti nel riutilizzare le password per la posta elettronica, i social media, l’e-commerce, i servizi di banking online e gli account di lavoro senza nemmeno ricorrere all’autenticazione a due fattori.
Se nel caso della Breach Compilation del 2017 gli esperti di sicurezza non furono in grado di stabilire con precisione quali fossero state le ripercussioni dirette, nel caso della “Compilation of Many Breaches” la situazione è ben diversa: vista la numerosità dei dati archiviati in COMB, l’impatto di questa nuova violazione potrebbe essere immane, sia per i privati sia per le aziende.
Il maggior rischio correlato, infatti, è il credential stuffing perché ancora oggi gli utenti non abilitano la doppia autenticazione per l’accesso ai servizi online e tendono a riusare le password fra gli ambiti personali e lavorativi.
Oltre a questi rischi che potremmo definire “diretti”, gli utenti i cui dati sono stati inclusi nella Compilation of Many Breaches, possono diventare vittime di attacchi di spear-phishing o possono ricevere massicce quantità di e-mail di tipo spam.
Oltre 3 miliardi di e-mail e password vendute nel Dark Web: il parere degli esperti
Marco Ramilli, CEO di Yoroi e Board Member in Cybaze S.p.a., evidenzia come la moltitudine di credenziali che si possono trovare in ClearNet e in DarkNet sia realmente impressionante. Nonostante il grande numero, spesso utilizzato dal “mercante di dati” (che oggi non coincide necessariamente con l’attaccante n.d.r.) per attrarre maggiori compratori o “media” al fine di pubblicizzare il proprio bundle, sempre più spesso si è difronte a famose collections più che ad autentici singoli data leak.
Le collections racchiudono numerosi data leak precedentemente venduti o rilasciati pubblicamente. Se questo fosse il caso, ed il condizionale è d’obbligo in quanto chi scrive non ha analizzato il contenuto di quanto venduto dal “mercante di dati”, la numerosità del data leak resta sicuramente importante ma la sua reale magnitudo (impatto sugli utilizzatori) potrebbe risultare inferiore.
In ogni modo, ed indipendentemente dalla magnitudo di tale collection, risulta oggi caldamente consigliato l’utilizzo di sistemi di autenticazione a due fattori (2FA) su tutte le piattaforme. Si consiglia di favorire app o token fisici rispetto a messaggi di conferma (con codice OTP) attraverso linea telefonica al fine di evitare tematiche di SIM swapping, oggi molto utilizzate da criminali informatici.
David Gubiani, Regional Director SE EMEA Southern di Check Point aggiunge che al momento non ci sono evidenze tecniche di come sia avvenuto il furto e con quali modalità. Si tratta però di un’eventualità sempre più frequente nel mondo che ormai è basato sul digitale e che gli utenti finali, i cittadini, devono tenere in considerazione in ogni aspetto della loro vita online, esattamente come fanno attenzione ai loro beni fisici.
Cosa fare per mitigare i rischi
Per scongiurare l’ipotesi che le nostre credenziali siano finite in mano ai criminal hacker è utile innanzitutto utilizzare il servizio CyberNews Personal Data Leak Checker messo a punto dagli esperti di CyberNEWS per verificare se il proprio account è stato violato e se i dati sono caduti nelle mani di criminali informatici.
Un ulteriore servizio di questo tipo è haveIbeenpawned.
David Gubiani consiglia, inoltre, una serie di accorgimenti in forma di decalogo pratico da tenere sempre in mente:
- Non utilizzare mai le stesse credenziali per più account: Il furto di credenziali è un obiettivo comune degli attacchi informatici. Molte persone riutilizzano gli stessi nomi utente e le stesse password per molti account diversi, quindi rubare le credenziali di un singolo account può dare il via a un “effetto cascata” esattamente come quello che sembra sia successo in questo caso.
- Aggiornare la password frequentemente: aggiornare le password con una certa frequenza permette che, in caso di furto di credenziali, dopo qualche tempo i database con i vostri dati diventano obsoleti e quindi gli hacker non possono sfruttarli.
- Siate sempre cauti quando arrivano e-mail per la reimpostazione della password: se ricevete un’e-mail di reimpostazione password non richiesta, visitate sempre il sito web (senza cliccare sui link nel testo della mail) e cambiate la password (evitando di riproporre la stessa in altri siti). Non conoscere la vostra password è, ovviamente, anche il problema che gli hacker devono affrontare quando cercano di accedere ai vostri conti online. Inviandovi di una falsa e-mail di reset della password, che vi indirizza a un sito phishing, possono indurvi a digitare le vecchie credenziali e rubarvele.
- Utilizzare le autenticazioni a più fattori: quando possibile è sempre meglio attivare l’autenticazione e due fattori. in questo modo se anche qualcuno dovesse entrare in possesso delle credenziali, per accedere all’account avrebbe bisogno anche del codice di conferma di sicurezza.
- Verificate di utilizzare un URL di un sito web autentico e attenzione ai domini falsi e/o errori ortografici: evitate di cliccare sui link nelle e-mail, piuttosto visitate il sito passando attraverso una ricerca su Google. Inoltre, errori di ortografia nelle e-mail o nei siti web, e i mittenti sconosciuti sono tra gli elementi più comuni che dovrebbero creare un sospetto.
- Fate attenzione al linguaggio e al tono utilizzato: le tecniche di social engineering sono progettate per sfruttare la natura umana. Ciò include il fatto che le persone sono più propense a commettere errori quando hanno fretta e sono inclini a seguire gli ordini delle persone più autoritarie. Il phishing utilizza queste tecniche per spingere le vittime a cliccare con urgenza su un link o ad aprire un allegato.
- Attenzione agli SMS con i link: è molto semplice far sembrare che un sms provenga da un’organizzazione, ecco perché bisogna stare molto attenti e non cliccare mai nei link contenuti negli SMS. Solitamente negli sms provenienti da fonti affidabili non ci sono link da cliccare ma hanno la sola funzione di notifica (ad esempio quelli delle banche).
- Non cliccate sugli allegati. Non aprite gli allegati di queste e-mail sospette o strane – in particolare gli allegati Word, Excel, PowerPoint o PDF. Anche semplici file Excel e Word possono contenere malware.
- Mantenere sempre aggiornati i propri dispositivi: aggiornare i propri dispositivi e i software consente di avere sempre a disposizione le ultime patch di sicurezza.
- Attenzione ad accedere ai propri account da connessioni condivise: utilizzare hotspot pubblici o condivisi o le reti wireless aperte potrebbe mettere a rischio la vostra privacy.
