QR code per la pagina originale

Collection #1, archivio con milioni di password

Collection #1 è il nome di un archivio da 87 GB contenente circa 773 milioni di indirizzi email e 21 milioni di password sottratte da numerosi siti web.

,

Troy Hunt, noto fondatore del servizio Have I Been Pwned, ha scoperto uno dei furti di dati più grandi della storia. Collection #1, questo il nome dell’enorme archivio da 87 GB, è un elenco di circa 2,7 miliardi di coppie username/password. Un altro esperto di sicurezza, Brian Krebs, afferma che i dati potrebbero essere di due o tre anni fa. Gli utenti dovrebbero prendere tuttavia le opportune precauzioni.

La collezione, pubblicata sul noto sito di file sharing MEGA e successivamente rimossa, è composta da oltre 12.000 file separati. L’archivio viene scambiato tra gli hacker che frequentano forum underground nel deep web. Hunt ha verificato che ci sono circa 773 milioni di indirizzi email unici e circa 21 milioni di password uniche per un totale di oltre 1,16 miliardi di combinazioni username/password. Ciò significa che molti utenti utilizzano le stesse credenziali di accesso per differenti siti web. Un elenco di 2.890 URL può essere consultato su Pastebin.

Krebs ha rintracciato il proprietario della collezione (un certo Sanixer), scoprendo che esistono altre raccolte di password per un totale di oltre 4 TB di dati. Questi archivi sono stati condivisi da alcuni hacker russi nel dark web e vengono sfruttati per eseguire attacchi mediante script automatizzati che inseriscono le varie combinazioni username/password in diversi siti. Hunt ha aggiunto tutte le password della Collection #1 nel database del suo servizio Have I Been Pwned. È possibile quindi verificare se i propri account sono stati compromessi, digitando l’indirizzo email.

I consigli per evitare il furto dei dati personali sono sempre gli stessi (ma pochi li seguono): scegliere una password lunga e complessa, non usare la stessa password per differenti siti e, se possibile, attivare l’autenticazione in due fattori. Esistono vari password manager che consentono di ricordare le varie credenziali. Uno dei più noti è 1Password che, grazie alla funzionalità Watchtower, controlla su Have I Been Pwned se la password memorizzata è stata rubata. Il software richiede un abbonamento mensile, ma esistono anche soluzioni gratuite come KeePass.

Fonte: Troy Hunt • Via: Krebs on Security • Immagine: matejmo via iStock