Sicurezza, il collezionista di password

272 milioni di credenziali trafugati ai danni di utenti Google, Microsoft, Yahoo e Mail.ru. Hold security ha messo le mani su un database popolato da record di origine ancora incerta

Roma - È stato ribattezzato come uno dei più grandi furti di credenziali di questi ultimi anni. Oltre 270 milioni di account email sono potenzialmente a rischio. I dati pare fossero in vendita per l'irrisoria e simbolica somma di 50 rubli, al cambio odierno poco più di 0,65 euro. Forse si tratta solo di un atto dimostrativo, per distinguersi nel sottobosco cracker del deep web, universo occulto ai più in cui far crescere la propria fama di eroe negativo. Se l'azione passerà probabilmente inosservata agli utenti, almeno fino a quando non subiranno accessi non autorizzati, la Rete trema. Perché simili azioni mettono in luce criticità sistemiche e punti deboli di infrastrutture di importanza planetaria, e delle abitudini degli utenti che vi si appoggiano.

A intuire tutto, i ricercatori di Hold Security, azienda statunitensespecializzata in sicurezza informatica, che lo hanno riferito in esclusiva all'agenzia di stampa britannica Reuters. Non nuova a questo genere di intercettazioni, la security company fondata da Alex Holden anni fa si è rivelata indispensabile nella scoperta di crimini informatici di natura similare perpetrati ai danni di Adobe Systems, JPMorgan e Target.

A subire i danni più ingenti, in questa occasione, sono state Google, Microsoft, Yahoo e Mail.ru. Ed è proprio quest'ultima ad aver pagato il prezzo più alto di tutte, con più di 55 milioni di account trafugati. Più contenuti, ma non meno importanti, i numeri del gigante di Mountain View, circa 24 milioni, e quelli del colosso di Redmond, stimati in 33 milioni. Per Yahoo, invece, quota 40 milioni. Non è dato sapere molto riguardo alla provenienza dei dati: Hold Security, prima di terminare le proprie verifiche, riferisce che molti dei dati potrebbero essere stati attinti a dump precedenti e che molti degli account sono replicati, associati a diverse password.
Ad ogni modo, fortunatamente per tutti, Holden e i suoi collaboratori sono riusciti a negoziare senza alcuna transazione di denaro e a recuperare il malloppo digitale barattandolo con un po' di visibilità per l'autore dell'operazione, forse giovanissimo. C'è da sperare che altri non vengano in possesso dello stesso pacchetto di dati e che chi lo ha trafugato non ne faccia un utilizzo improprio, accontentandosi semplicemente della soddisfazione di essere riuscito nell'impresa.

Ma come sarebbe potuta andare se non ci si fosse accorti di nulla? Secondo gli analisti, davvero molto male. Non era impensabile una reazione a catena, dovuta al fatto che accedere clandestinamente ai dati email di una persona equivale a mettere le mani su tutta la sua rete di contatti. Le conseguenze, dunque, sarebbero potute essere disastrose. Tanto più se consideriamo che sono moltissimi gli utenti che hanno la cattiva e insidiosa abitudine di utilizzare le medesime credenziali per accedere a più servizi e di non modificarle mai.

Forse questa volta è andata bene. Ma quali prospettive per il futuro? Le grandi multinazionali della comunicazione elettronica sono avvisate e si sono mobilitate. Il sistema è debole e presenta evidentemente numerose criticità e punti di cedimento, primo fra tutti l'uso spesso poco consapevole che gli utenti fanno dei propri dati di login.

Luca Barbieri
Notizie collegate
  • SicurezzaCracking, Guccifer sarà giudicato negli USAIl cracker rumeno sarà estradato e si confronterà con la giustizia statunitense per le violazioni degli account della famiglia Bush e per altri attacchi condotti in passato
  • Diritto & InternetAshley Madison, denunce come se piovesseFornitori di hosting e siti che promettono dettagli sulle identità rubate sono stati chiamati in causa per ripagare i danni inferti agli utenti, anche se della ripubblicazione di dati personali non c'è traccia
  • SicurezzaLa Germania è un paese per crackerLe autorità mettono in guardia i cittadini sulla proliferazione di una rete malevola che ha già accalappiato decine di milioni di account online. Ma la sicurezza è un dramma ovunque, in Germania, negli States, come nel resto del mondo
4 Commenti alla Notizia Sicurezza, il collezionista di password
Ordina
  • Anche su libero ci sono stati dei furti di password a blocchi sfruttando delle brecce sulla sicurezza. Loro interpellati hanno sempre negato.
    Ma l'ondata di spam da libero lo dimostra. E cosa più grave hanno abbinato la mail con la propria rubrica il che rende molto più pericoloso l'invio di spam perchè non vengono mandate a mail a caso ma ai propri contatti.
    Io ho sempre avuto mail molto complesse e cambiate spesso. E s.o. sicuro senza virus ma l'hanno trafugata lo stesso. Non può essere che una falla di Libero.
    non+autenticato
  • usare libero è da masochisti
    non+autenticato
  • - Scritto da: eheheh
    > usare libero è da masochisti

    eheheh, ahahah, io la USO dal lontano 1997 è non mi è MAI accaduto niente come la mettiamo?

    E la citata mail(la mia prima mail del mio primo pc)la uso esclusivamente come mail secondaria, per iscrizioni a siti di porci e porcellini e-commerce.

    Iniziate ad usare la testa, vi è stata data per un motivo, non per mettere montagne di gel, e farvi creste del calciatore tal dei tali.Pirata
    non+autenticato
  • - Scritto da: eheheh
    > usare libero è da masochisti

    Sicuramente non è il massimo come provider, una miriade di server smtp di Libero sono sulle blacklist di spam, ed è facile che se invii una mail da Libero questa ti venga rifiutata dal destinatario a causa della scarsa reputazione del server smtp. Spesso in azienda mi chiamano utenti per cui un mittente, parlo di email personali, non riesce a spedire loro una email proprio per quel motivo.
    non+autenticato