Rubati indirizzi e password di 773 milioni di account: ecco come controllare se sei al sicuro

È decisamente uno dei più grandi archivi di indirizzi email e password rubati della storia: si chiama Collection #1 ed è stato disponibile online fino a poche ore fa sul sito di condivisione online Mega. Si tratta di una banca dati di dimensioni pantagrueliche — 87 gigabyte che contengono le informazioni di accesso a svariati siti relative a 773 milioni di account — finita nelle mani di un numero imprecisato di persone che ora possono spulciarla per tentare di impersonare gli utenti coinvolti. A scoprirne l'esistenza è stato il ricercatore informatico Troy Hunt, che ha denunciato l'esistenza dell'archivio portando alla sua cancellazione.

Di cosa si tratta

La fonte dell'archivio non è una singola, colossale fuga di informazioni. Il tesoretto di dati rubati non si riferisce a un semplice attacco hacker, ma è una collezione di banche dati violate nel corso degli ultimi anni, che sono state riunite e messe a disposizione pubblicamente in un unico gigantesco archivio online. Prima di oggi le informazioni pubblicate erano dunque già a disposizione dei singoli hacker o collettivi che le avevano ottenute, magari per poi rivenderle privatamente a terzi. L'archivio in questione desta preoccupazione non solo per la sua estensione, ma anche perché la sua esistenza è stata pubblicizzata su almeno un forum pubblico dedito all'hacking, il che vuol dire che un pubblico di persone interessate all'argomento ha potuto scaricarlo, analizzarlo, copiarlo e ridiffonderlo prima che venisse rimosso dal sito di condivisione.

I numeri

Il numero di file presenti nell'archivio risulta di circa 12mila. Si tratta di file di testo, ciascuno dei quali sembra riferirsi a un singolo sito violato e contenere le relative informazioni di accesso degli utenti iscritti. Il numero totale di email presenti nella banca dati supera come detto quota 722 milioni, ma il numero di combinazioni di email e password supera il miliardo; questo vuol dire che il proprietario di una singola email può essere finito vittima di più di un attacco, ovvero risultava iscritto a più di uno dei siti violati.

Cosa fare

Da tempo Troy Hunt mantiene un sito dedicato a monitorare il fenomeno degli account esposti ad attacchi, e sfrutta le banche dati trapelate online per avvisare gli utenti a rischio attraverso due strumenti. Il primo si chiama Have I Been Pwned, e permette di inserire il proprio indirizzo email per controllare se risulta finito all'interno delle banche dati di uno o più siti violati. In caso affermativo lo strumento rivela quali sono i siti in questione consigliando di andare cambiarne la password di accesso. Il secondo strumento si chiama Pwned Passwords e permette di inserire le password utilizzate online per verificare se siano già trapelate in passato e se sia sicuro continuare a sfruttarle.

Per rimanere il più possibile al sicuro da attacchi del genere però le soluzioni più semplici sono due: cambiare più frequentemente le password di accesso ai propri servizi online (un sistema di gestione delle password come quelli ormai integrati all'interno dei maggiori sistemi operativi può essere utile) e soprattutto attivare l'autenticazione a due fattori ovunque sia possibile farlo.