No, non siamo di fronte alla “madre di tutte le violazioni”: la notizia della vendita sul dark web di un archivio contenente 16 miliardi di password non svela alcun mega data breach ai danni delle big tech, tra cui Apple, Facebook e Google.
Come ha correttamente riportato Dario Fadda su X, l’archivio scoperto online “non è una raccolta di 16 miliardi di password, ma un insieme di datasets mischiati tra loro da diverse sorgenti; quindi, l’unicità delle righe non ha alcun senso”.
Al momento, non esistono prove che questa raccolta contenga dati nuovi o mai visti prima.
“Non ci troviamo dinanzi alla “madre di tutte le violazioni”: i 16 miliardi di password non derivano da un nuovo attacco ad aziende in rete, ma da vecchie credenziali rubate e aggregate”, conferma anche Pierluigi Paganini, analista di cyber security e Ceo Cybhorus.
Dello stesso parere anche Sandro Sana, Ethical Hacker e membro del comitato scientifico Cyber 4.0: “16 miliardi di password esposte fa rumore, ma non scambiatelo per ‘il più grande data breach di sempre’. Sì, è una mole enorme di dati, suddivisa in 30 database trovati da Cybernews, ma si tratta per lo più di credenziali raccolte da infostealer, non da un attacco epocale a una singola piattaforma. E, come spesso accade, ci sono informazioni già note, rimescolate e talvolta manipolate per gonfiare le cifre. Il punto, però, resta: anche una collezione aggregata di “vecchiume” può attivare phishing mirati, furti di account e attacchi con credential stuffing, basta che esista una sola password valida”.
Dunque, la realtà è ben diversa dalle notizie che circolano in queste ore creando inutile allarmismo: i “16 miliardi di password esposte” non sono altro che una raccolta di credenziali precedentemente compromesse attraverso infostealer, violazioni di dati e attacchi di credential stuffing.
Insomma, non si tratta di una nuova violazione informatica, né di un data breach vero e proprio. I siti web coinvolti non sono stati recentemente compromessi per sottrarre queste credenziali.
Al contrario, queste credenziali rubate circolavano probabilmente da tempo, forse anni. Sono state successivamente aggregate e riconfezionate in un database poi esposto su Internet.
Come sottolinea ancora Dario Fadda, esperto di cyber sicurezza e collaboratore di Cybersecurity360, “se io prendo una collezione di tot credenziali, ne aggiungo di altre trovate in giro, magari usando l’ultima più grande collezione apparsa, avrò sempre un nuovo archivio più grande del primo, ma non sono password rubate ora”.
Indice degli argomenti
16 miliardi di password esposte: il fenomeno infostealer
La “fonte” di questo enorme archivio di password rubate sarebbero, dunque, attacchi condotti negli anni mediante l’utilizzo degli infostealer.
Un infostealer è un malware progettato per sottrarre credenziali, portafogli di criptovalute e altri dati sensibili da dispositivi infetti. Nel corso degli anni, gli infostealer sono diventati una minaccia massiccia, causando violazioni in tutto il mondo.
Questi tipi di malware colpiscono sia sistemi Windows che Mac e, una volta eseguiti, raccolgono tutte le credenziali disponibili sul dispositivo, salvandole in quello che viene definito un “log”.
Un log di infostealer è, generalmente, un archivio contenente numerosi file di testo e altri dati sottratti. I file di testo contengono elenchi di credenziali rubate da browser, file e altre applicazioni.
Se un utente viene infettato da un infostealer e ha salvato mille credenziali nel proprio browser, il malware le sottrae tutte e le memorizza nel log. Questi log vengono poi caricati presso l’attore malevolo, dove le credenziali possono essere utilizzate per ulteriori attacchi o vendute sui mercati del cyber crimine.
Infostealer: un’arma sempre più usata dai cyber criminali
Una minaccia, dunque, sempre più grave in quanto le credenziali compromesse rappresentano chiaramente uno dei metodi più comuni utilizzati dagli attori malevoli per violare le reti aziendali.
Questo spiega l’abbondanza e l’uso sempre diffuso degli infostealer grazie ai quali gli attori malevoli raccolgono massivamente dati alle ignare vittime per poi pubblicarle, spesso gratuitamente, su Telegram, Pastebin e Discord per guadagnare reputazione nella comunità del cyber crimine o come anteprima di offerte a pagamento.
I ricercatori sono finora riusciti a individuare migliaia, se non centinaia di migliaia, di archivi simili condivisi online, risultando in miliardi di record di credenziali rilasciati gratuitamente. E, molto probabilmente, il database di 16 miliardi di password esposte è frutto proprio di un lavoro di aggregazione di questi archivi gratuiti.
Raccomandazioni per la sicurezza
Al di là di quella che sia l’origine del nuovo archivio contenente 16 miliardi di password esposte, la nostra attenzione deve concentrarsi su quelle che sono le misure di sicurezza da adottare per difenderci da infostealer, violazioni di dati e attacchi di credential stuffing.
Il passo più importante consiste nell’adottare e mantenere buone abitudini di cyber security che dovrebbero già essere praticate.
Se si sospetta la presenza di un infostealer sul proprio computer, è essenziale effettuare una scansione antivirus affidabile prima di modificare qualsiasi password. Altrimenti, anche le nuove credenziali inserite potrebbero essere sottratte.
Una volta accertata la pulizia del sistema, occorre concentrarsi sul miglioramento dell’igiene delle password. Ciò significa utilizzare una password unica e robusta per ogni sito utilizzato, affidandosi a un password manager per mantenerle organizzate e sicure.
Ma poiché nemmeno le password uniche garantiscono protezione completa in caso di compromissione, attacchi di phishing o installazione di malware, è cruciale adottare l’autenticazione a due fattori (2FA): solo così, se anche una password dovesse venir compromessa, gli attori malevoli non potrebbero accedere all’account senza il codice 2FA.
Cruciale, poi, “utilizzare sistemi anti-malware sempre aggiornati, così come i software che equipaggiano le nostre macchine”, aggiunge come consiglio di igiene cyber Pierluigi Paganini.
Infine, per verificare se le proprie credenziali sono apparse in violazioni note, è possibile utilizzare servizi come Have I Been Pwned, sviluppato e gestito da Troy Hunt, un consulente australiano specializzato in sicurezza web noto proprio per la sua attività di sensibilizzazione e divulgazione su tematiche relative alla sicurezza informatica.
“Morale? Non drammatizziamo inutilmente, ma non sottovalutiamo. Cambiate subito le password che usate da anni, attivate l’autenticazione a due fattori (meglio se con app o passkey) e passate a gestori di password affidabili. Una buona igiene digitale è l’unica vera difesa e non serve che sia epocale per farvi male”, conclude Sandro Sana.
