Un database di 10 miliardi di password rubate minaccia la sicurezza online: ecco le strategie per proteggersi.
Un’enorme raccolta di oltre dieci miliardi di password rubate è stata scoperta dai ricercatori di Cybernews, segnando uno dei più grandi archivi di dati compromessi mai trovati fino ad oggi.
Questo file, denominato “rockyou2024.txt“, è stato rilasciato il 4 luglio da un cybercriminale conosciuto con lo pseudonimo “ObamaCare” su un forum dedicato agli hacker.
Nonostante il recente rilascio, l’utente è noto per aver precedentemente diffuso altri database contenenti dati sensibili.
La minaccia del database con password rubate
Il database rockyou2024.txt, come riportato da Il Giornale, contiene una combinazione di vecchie e nuove password raccolte da varie violazioni di dati.
Tra le precedenti divulgazioni effettuate dallo stesso utente, vi sono i dati rubati ai dipendenti dello studio legale Simmons & Simmons, informazioni sensibili di un casinò online.
Nonché anche le domande di iscrizione dei nuovi studenti al Rowan College della contea di Burlington.
Secondo i ricercatori: “Nella sua essenza, la fuga di notizie di RockYou2024 è una raccolta di password del mondo reale utilizzate da individui in tutto il mondo e rivela che molte di queste password aumentano sostanzialmente il rischio di attacchi di ‘credential stuffing’“.
Questo metodo di attacco informatico si basa sull’utilizzo di elenchi di credenziali utente compromesse per accedere a vari servizi online.
Dunque, sfruttando il fatto che molti utenti tendono a riutilizzare le stesse combinazioni di nome utente e password su più piattaforme.
Che cos’è il credential stuffing e come proteggersi
Come spiegato dagli esperti di Imperva, società americana specializzata in software e servizi di sicurezza, “circa lo 0,1% delle credenziali violate tentate su un altro servizio si tradurrà in un accesso riuscito“.
Questo significa che, sebbene la percentuale sembri bassa, il numero assoluto di account compromessi può essere molto elevato, data la vastità del database in questione.
Per proteggersi da questi attacchi, esistono alcune semplici ma efficaci strategie. La prima linea di difesa è l’attivazione dell’autenticazione a due fattori (2FA).
Questa richiede non solo la password ma anche un codice generato automaticamente, spesso inviato via SMS o tramite un’app di autenticazione.
Un’altra pratica fondamentale è quella di cambiare frequentemente le password, idealmente ogni due o tre mesi.
Le password dovrebbero essere complesse, includendo almeno una lettera maiuscola, uno o due numeri e caratteri speciali come punti esclamativi o parentesi. Questo rende molto più difficile per gli hacker indovinare o decifrare le password.