MAXI FURTO DI CREDENZIALI

Oltre 3 miliardi di e-mail e password vendute nel Dark Web: i dettagli e i consigli per mitigare i rischi

Si chiama Compilation of Many Breaches (COMB) l’enorme archivio pubblicato su un forum di hacking contenente oltre tre miliardi di coppie uniche di e-mail e password in chiaro: gli esperti consigliano di cambiare le proprie credenziali per mitigare il rischio di cyber attacchi mirati al furto di identità. Ecco tutti i dettagli

Pubblicato il 11 Feb 2021

Alessia Valentini

Giornalista, Cybersecurity Consultant e Advisor

È stato ribattezzato “Compilation of Many Breaches” (COMB) l’archivio composto da più di 3,27 miliardi di coppie uniche di e-mail e password in chiaro che è stato messo online dal famoso forum di hacking RaidForums.

I dati sono archiviati e inseriti in un contenitore crittografato e protetto da password e sono il risultato di sottrazioni di dati e di attacchi effettuati in passato ai danni di Netflix, LinkedIn, Exploit.in, Bitcoin e numerose altre piattaforme online, anche se non è stato ancora chiarito il lasso temporale in cui sono avvenuti i singoli data breach e la conseguente esfiltrazione dei dati.

Secondo gli esperti di CyberNEWS, che per primi hanno dato notizia della effettiva esistenza dell’archivio COMB, non siamo di fronte ad una nuova violazione, ma piuttosto si tratta della più grande compilation di violazioni multiple. La struttura del nuovo archivio, infatti, è molto simile a quella della Breach Compilation del 2017: i dati di COMB sono organizzati per ordine alfabetico in una struttura ad albero e all’interno sono presenti anche gli stessi script utilizzabili per interrogare l’archivio.

Gli impatti possibili per gli utenti

La conseguenza più immediata rispetto ad un corpus di dati indicizzato e organizzato come quello presente nell’archivio “Compilation of Many Breaches” (COMB), è che gli hacker possano automatizzare il dirottamento di uno o più account o l’acquisizione degli account stessi, sfruttando la cronica abitudine della maggior parte degli utenti nel riutilizzare le password per la posta elettronica, i social media, l’e-commerce, i servizi di banking online e gli account di lavoro senza nemmeno ricorrere all’autenticazione a due fattori.

WHITEPAPER
Cyber Risk : la guida per gestire il rischio in banca
Sicurezza
Cybersecurity

Se nel caso della Breach Compilation del 2017 gli esperti di sicurezza non furono in grado di stabilire con precisione quali fossero state le ripercussioni dirette, nel caso della “Compilation of Many Breaches” la situazione è ben diversa: vista la numerosità dei dati archiviati in COMB, l’impatto di questa nuova violazione potrebbe essere immane, sia per i privati sia per le aziende.

Il maggior rischio correlato, infatti, è il credential stuffing perché ancora oggi gli utenti non abilitano la doppia autenticazione per l’accesso ai servizi online e tendono a riusare le password fra gli ambiti personali e lavorativi.

Oltre a questi rischi che potremmo definire “diretti”, gli utenti i cui dati sono stati inclusi nella Compilation of Many Breaches, possono diventare vittime di attacchi di spear-phishing o possono ricevere massicce quantità di e-mail di tipo spam.

Oltre 3 miliardi di e-mail e password vendute nel Dark Web: il parere degli esperti

Marco Ramilli, CEO di Yoroi e Board Member in Cybaze S.p.a., evidenzia come la moltitudine di credenziali che si possono trovare in ClearNet e in DarkNet sia realmente impressionante. Nonostante il grande numero, spesso utilizzato dal “mercante di dati” (che oggi non coincide necessariamente con l’attaccante n.d.r.) per attrarre maggiori compratori o “media” al fine di pubblicizzare il proprio bundle, sempre più spesso si è difronte a famose collections più che ad autentici singoli data leak.

Le collections racchiudono numerosi data leak precedentemente venduti o rilasciati pubblicamente. Se questo fosse il caso, ed il condizionale è d’obbligo in quanto chi scrive non ha analizzato il contenuto di quanto venduto dal “mercante di dati”, la numerosità del data leak resta sicuramente importante ma la sua reale magnitudo (impatto sugli utilizzatori) potrebbe risultare inferiore.

In ogni modo, ed indipendentemente dalla magnitudo di tale collection, risulta oggi caldamente consigliato l’utilizzo di sistemi di autenticazione a due fattori (2FA) su tutte le piattaforme. Si consiglia di favorire app o token fisici rispetto a messaggi di conferma (con codice OTP) attraverso linea telefonica al fine di evitare tematiche di SIM swapping, oggi molto utilizzate da criminali informatici.

David Gubiani, Regional Director SE EMEA Southern di Check Point aggiunge che al momento non ci sono evidenze tecniche di come sia avvenuto il furto e con quali modalità. Si tratta però di un’eventualità sempre più frequente nel mondo che ormai è basato sul digitale e che gli utenti finali, i cittadini, devono tenere in considerazione in ogni aspetto della loro vita online, esattamente come fanno attenzione ai loro beni fisici.

Cosa fare per mitigare i rischi

Per scongiurare l’ipotesi che le nostre credenziali siano finite in mano ai criminal hacker è utile innanzitutto utilizzare il servizio CyberNews Personal Data Leak Checker messo a punto dagli esperti di CyberNEWS per verificare se il proprio account è stato violato e se i dati sono caduti nelle mani di criminali informatici.

Un ulteriore servizio di questo tipo è haveIbeenpawned.

David Gubiani consiglia, inoltre, una serie di accorgimenti in forma di decalogo pratico da tenere sempre in mente:

  1. Non utilizzare mai le stesse credenziali per più account: Il furto di credenziali è un obiettivo comune degli attacchi informatici. Molte persone riutilizzano gli stessi nomi utente e le stesse password per molti account diversi, quindi rubare le credenziali di un singolo account può dare il via a un “effetto cascata” esattamente come quello che sembra sia successo in questo caso.
  2. Aggiornare la password frequentemente: aggiornare le password con una certa frequenza permette che, in caso di furto di credenziali, dopo qualche tempo i database con i vostri dati diventano obsoleti e quindi gli hacker non possono sfruttarli.
  3. Siate sempre cauti quando arrivano e-mail per la reimpostazione della password: se ricevete un’e-mail di reimpostazione password non richiesta, visitate sempre il sito web (senza cliccare sui link nel testo della mail) e cambiate la password (evitando di riproporre la stessa in altri siti). Non conoscere la vostra password è, ovviamente, anche il problema che gli hacker devono affrontare quando cercano di accedere ai vostri conti online. Inviandovi di una falsa e-mail di reset della password, che vi indirizza a un sito phishing, possono indurvi a digitare le vecchie credenziali e rubarvele.
  4. Utilizzare le autenticazioni a più fattori: quando possibile è sempre meglio attivare l’autenticazione e due fattori. in questo modo se anche qualcuno dovesse entrare in possesso delle credenziali, per accedere all’account avrebbe bisogno anche del codice di conferma di sicurezza.
  5. Verificate di utilizzare un URL di un sito web autentico e attenzione ai domini falsi e/o errori ortografici: evitate di cliccare sui link nelle e-mail, piuttosto visitate il sito passando attraverso una ricerca su Google. Inoltre, errori di ortografia nelle e-mail o nei siti web, e i mittenti sconosciuti sono tra gli elementi più comuni che dovrebbero creare un sospetto.
  6. Fate attenzione al linguaggio e al tono utilizzato: le tecniche di social engineering sono progettate per sfruttare la natura umana. Ciò include il fatto che le persone sono più propense a commettere errori quando hanno fretta e sono inclini a seguire gli ordini delle persone più autoritarie. Il phishing utilizza queste tecniche per spingere le vittime a cliccare con urgenza su un link o ad aprire un allegato.
  7. Attenzione agli SMS con i link: è molto semplice far sembrare che un sms provenga da un’organizzazione, ecco perché bisogna stare molto attenti e non cliccare mai nei link contenuti negli SMS. Solitamente negli sms provenienti da fonti affidabili non ci sono link da cliccare ma hanno la sola funzione di notifica (ad esempio quelli delle banche).
  8. Non cliccate sugli allegati. Non aprite gli allegati di queste e-mail sospette o strane – in particolare gli allegati Word, Excel, PowerPoint o PDF. Anche semplici file Excel e Word possono contenere malware.
  9. Mantenere sempre aggiornati i propri dispositivi: aggiornare i propri dispositivi e i software consente di avere sempre a disposizione le ultime patch di sicurezza.
  10. Attenzione ad accedere ai propri account da connessioni condivise: utilizzare hotspot pubblici o condivisi o le reti wireless aperte potrebbe mettere a rischio la vostra privacy.

@RIPRODUZIONE RISERVATA

Valuta questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 2