All’inizio del mese è stata messa in vendita una lista di quasi 10 miliardi di password presumibilmente trapelate da diversi servizi Internet. Lo riferiscono i ricercatori del sito americano Cybernews. Si tratterebbe del più grande lotto di password rubate della storia.
Il file si chiamava RockYou2024 e, secondo la pagina specializzata sulla sicurezza informatica, Comprende esattamente 9.948.575.739 password in testo semplice, cioè senza crittografia.
L’outlet ha inoltre riferito che la raccolta sembra contenere password raccolte da 4.000 database nell’arco di due decenni.
Oltre a questo fattore, gli esperti mettono in dubbio le possibilità di questo elenco per i seguenti motivi:
- In effetti, i record sembrano essere, per la maggior parte, non password, ma parole prese da siti come Wikipedia;
- RockYou2024 dovrebbe raccogliere solo password, senza che siano collegate a e-mail o nomi utente, il che rende difficile l’hacking degli account;
- Alcune delle password già trapelate potrebbero essere state danneggiate, ovvero non visualizzate correttamente, rendendo questi record inutilizzabili.
⚠️ Ma questo significa che non c’è motivo di preoccuparsi? Non è proprio così. I criminali possono utilizzare elenchi di password come RockYou2024 per eseguire i cosiddetti “attacchi di forza bruta”.
“In un attacco di forza bruta, hai un elenco di password conosciute, vai su un sito web e provi a utilizzare l’intero elenco per accedere a un account. Vengono provate diverse combinazioni nella speranza che la vittima ne utilizzi una.” Spiegato all’ingegnere ricercatore senior di g1 Tenable Satnam Narang.
Scopri di più di seguito su RockYou2024, i pericoli degli elenchi di password e come proteggerti.
RockYou è un riferimento all’ex società di servizi online che ha subito una fuga di dati nel 2009. All’epoca furono esposti 32 milioni di account le cui password erano state archiviate non crittografate.
Da allora altre liste di password hanno approfittato di questo nome e hanno cominciato a diffondersi su Internet. RockYou2024 è l’ultimo aggiornamento rilasciato il 4 luglio.
Cosa c’è in RockYou2024?
L’elenco è stato annunciato come un file di testo contenente miliardi di password, senza fare riferimento ad altri tipi di dati, come email e nomi utente, che vengono spesso citati per aumentare l’interesse verso questo tipo di materiale.
A RockYou2021, il gruppo non ha incluso i nomi utente, ma ha riscontrato un problema più grande: la maggior parte delle presunte password non erano credenziali trapelate.Ma le parole sono prese da Wikipedia e Project Gutenberg, un sito che digitalizza opere letterarie.
Questa informazione fu rivelata all’epoca da Troy Hunt, fondatore del sito web “Have I Been Pwned”, che monitora le fughe di dati. Per quanto riguarda la nuova versione di RockYou, ha affermato che non c’è motivo di preoccuparsi.
“Queste non sono password hackerate, sono solo stringhe di testo raccolte da tutti i tipi di fonti diverse”, ha detto Hunt su X all’inizio di luglio.
Nella sua analisi del 2021, lo ha detto anche Hunt Non ci sono nemmeno 8,4 miliardi di password univoche da esplorare Considerando il numero approssimativo di utenti Internet, le password ripetute su vari servizi e molti sistemi non sono state esposte a violazioni.
C’è un altro punto a cui prestare attenzione: È possibile che parti del file ottenuto dalle fughe di notizie siano già state modificate e non vengano più visualizzate correttamente.
Secondo Wellington Silva, ingegnere dei sistemi di gestione della rete di Palo Alto, “le password spesso arrivano in un formato danneggiato, a volte a causa della rimozione di caratteri speciali o di password molto lunghe”.
Alcune password possono però essere sfruttate Alcuni di essi risultano “rotti”, cioè senza una formattazione adeguata. Secondo Wellington, ciò accade “perché non è stato possibile divulgare l’intera struttura della password, a volte attraverso la procedura utilizzata per estrarre queste informazioni”.
Tecno Lógica: Le password calcistiche sono tra le password più utilizzate su Internet; Comprendi perché non è sicuro usarli
Cosa sono gli elenchi di password?
Questo tipo di materiale viene utilizzato negli “attacchi al dizionario” o negli “attacchi di forza bruta”.che sono metodi meno sofisticati attraverso i quali gli hacker cercano di invadere gli account attraverso tentativi ed errori, combinando l’e-mail o il nome utente con le password esistenti.
Questa tecnologia non è adatta ai servizi online più diffusi, che tendono a limitare gli accessi dopo un certo numero di tentativi di accesso non validi. Ma Può essere utile per i siti più piccoli dove non c’è molta sicurezza.
“La forza bruta significa che provi tutto, usi tutto il possibile per cercare di sfondare la porta. Quindi continui a provare e riprovare finché qualcosa non funziona”, ha detto Narang di Tenable.
Dopo aver scoperto le informazioni di accesso e password per un servizio meno conosciuto, i criminali informatici possono testare la combinazione su piattaforme più grandi, come social media ed e-mail, nella speranza che il proprietario abbia utilizzato la password in più di un posto.
“Proveranno a utilizzare questi dati su un altro sito web. Questo è più semplice che tentare un attacco di forza bruta, in cui si provano tutte le combinazioni di password”, ha detto Narang.
Non esiste un modo per impedire la divulgazione ingiustificata delle proprie informazioni con certezza al 100%, ha affermato Fabio Assolini, Direttore del Global Research and Analysis Team in America Latina presso Kaspersky.
“È impossibile evitare la fuga di dati”, ha affermato. “Oggi l’utente deve capire che la questione non è più se i dati verranno divulgati, ma quando. È inevitabile. D’ora in poi occorre adottare abitudini per limitare i danni causati da questa fuga.”
Per aumentare la tua sicurezza online, gli esperti consultati da g1 suggeriscono le misure seguenti.
- Utilizza password diverseSenza ripeterlo in più servizi;
- Per ricordarli tutti, Adotta un gestore di password – Alcuni di essi ti avvisano se compaiono in fughe di dati (Scopri di più a riguardo);
- Abilita la gestione in due passaggiche richiede un secondo fattore di autenticazione oltre alla password per accedere ai tuoi account (Vedi come abilitarlo nelle principali app);
- Monitora i tuoi dati Attraverso siti come Have I Been Pwned, che ti dice se sono apparsi in una fuga di notizie;
- Fornire dati fittizi nei casi in cui non è necessario -Ad esempio, un sito di giochi online non ha sempre bisogno del tuo indirizzo.
Traffico su Whatsapp: sapere come proteggersi
