Non è di certo la prima volta che qui sul nostro blog parliamo di attacchi hacker pianificati ed eseguiti con una tale maestria da riuscire a compromettere la sicurezza di sistemi ritenuti inespugnabili.

Uno degli ultimi, ancora fresco nella memoria di molti, è sicuramente quello che ha colpito il social network più utilizzato in tutto il mondo. Facciamo riferimento proprio a Facebook, vittima di un gigantesco furto di dati personali e password.

Ma la storia non finisce qui. Oggi infatti parliamo di un ulteriore atto fraudolento che ha coinvolto una mega lista di password mai raccolta online prima d’ora.

 

Sommario:

Irrefrenabili hacker: ancora un altro attacco chiamato RockYou2021

RockYou2021: la collezione di 8,4 miliardi di password rubate agli utenti

RockYou2021 mette sotto scacco il globo intero

Un suggerimento per gli utenti: controllate le vostre credenziali

 

RockYou2021: la collezione di 8,4 miliardi di password rubate agli utenti

Ecco cosa è accaduto: tra la fine del mese di maggio e l’inizio di giugno dell’anno corrente, su un popolare forum per hacker è comparsa una lista. Anzi, a voler essere più precisi, dovremmo chiamarla una mega-lista visto che al suo interno sono contenuti ben 8,4 miliardi di credenziali trafugate da tutto il mondo. Il collettore è un “semplice” file di testo definito “plain text”, ossia con dati leggibili e non cifrati in alcun modo.

C’è da specificare che non è detto che tali credenziali siano state tutte violate in questa occasione. Al contrario si presume che molte fossero il risultato di vecchie intrusioni. Difatti l’eccezionalità dell’evento non sta tanto nel furto in sé, quanto nel raggruppamento in chiaro di una mole di dati, considerata smisurata in paragone a eventi passati, all’interno di un unico file messo poi a disposizione dell’intera rete digitale.

La lista sotto i riflettori è stata chiamata RockYou2021, come a voler onorare il famoso furto dati RockYou avvenuto nel 2009 sebbene in termini quantitativi i due eventi non sono neanche paragonabili. Basti pensare che nel caso del RockYou, gli hacker trafugarono oltre 32 milioni di password di utenti, memorizzate in formato txt. In RockYou2021 si parla non di milioni ma di miliardi di record rubati agli utenti.

RockYou2021 mette sotto scacco il globo intero

Data la copiosità dei record trafugati, e considerando che la numerosità delle persone online in tutto il mondo si aggira intorno ai 4,7 miliardi, stimare la gravità di tale evento è piuttosto immediato: è come se RockYou2021 includa potenzialmente tutte le password dell’intera popolazione globale, moltiplicata per due.

A conti fatti, quindi, si tratta di un furto di dati dalla portata disarmante e dall’impatto tragico. Aggravato ancora di più dalla diffusione di una pratica tanto sbagliata quanto diffusa tra le persone, nonostante le ripetute sollecitazioni a interromperla: utilizzare la stessa password su più applicazioni e siti. Pratica, questa, di cui gli hacker sono argutamente consapevoli.

Insomma, RockYou2021 potrebbe riguardare nella migliore delle ipotesi almeno un account per ogni singolo individuo che abita il pianeta Terra.

Un suggerimento per gli utenti: controllate le vostre credenziali

Per tutti coloro che si stanno domandando se le loro password sono state rubate e come poter controllare, ecco il nostro suggerimento. Visitando la pagina Personal Data Leak Check è possibile eseguire un controllo: basterà digitare i propri indirizzi e numeri di telefono nella casella di ricerca e attendere l’esito. Il sistema di verifica infatti indicherà se le password associate agli account sono state rubate. Non solo, il sistema è anche in grado di dire se tali record sono presenti in una o più raccolte oltre quella qui discussa.

In linea generale, le raccomandazioni più importanti, peraltro già discusse altre volte, che vogliamo condividere con i nostri lettori sono sempre le stesse:

  • cambiare frequentemente le proprie credenziali di registrazione e accesso
  • non utilizzare una password identica su più siti o applicazioni o servizi con registrazione, bensì diversificarle

In caso di violazione delle proprie credenziali, ci sono due azioni da mettere immediatamente in campo.

La prima è procedere al repentino cambio delle password, ancora meglio se supportato da un generatore di password o password manager capace di creare delle combinazioni difficili da intercettare.

La seconda riguarda l’attivazione dell’autenticazione a due fattori (2FA), che offre un maggior livello di sicurezza oltre alla garanzia di essere prontamente avvisati nel caso in cui venga rilevato un accesso sospetto da parte di un dispositivo non autorizzato in precedenza.