Autore: #FlorianKarici
Nel 2013 si verificò la più grande violazione di account mai registrata fino a quel momento: circa 153 milioni credenziali dei clienti di Adobe vennero rubate. Troy Hunt, esperto di cyber sicurezza, decise di studiare in maniera approfondita la vicenda e notò, con un’analisi di post-violazione, che gli stessi account venivano esposti più e più volte a causa dell’utilizzo della stessa password per diverse piattaforme. A seguito delle sue ricerche, Hunt decise di creare Have I Been Pwned (in italiano “Sono stato violato?”), un sito internet che permette agli utenti di verificare se i propri dati siano stati compromessi o meno durante una passata violazione. Ad oggi, nel database del sito sono presenti quasi 10 miliardi di record di account violati e 454 URL di siti hackerati.
Ma come funziona HIBP?
Una volta aperta la pagina web è sufficiente inserire la propria e-mail e cliccare su “pwned”. Se l’e-mail inserita dovesse far parte dei 10 miliardi di record presenti nel database, il sito avvertirà l’utente con la frase “oh no sei stato hackerato” ed indicherà qual è il sito compromesso in cui l’account è stato violato. Il più delle volte si tratta di violazioni in social network o social di condivisione: Facebook, Twitter, LinkedIn, WhatsApp, Dropbox ecc. Per dare qualche numero: nel 2012 sono state rubate 164 milioni di credenziali LinkedIn, messe poi in vendita sul dark web per 5 bitcoin!
Se risultaste “violati” dopo una verifica su HIBP niente panico. Il primo consiglio è di modificare le password sulle applicazioni ed i siti in cui l’account risulta compromesso con chiavi composte da lettere maiuscole, lettere minuscole, numeri e caratteri speciali. Si dovrebbero evitare password banali (o quelle definite “patetiche” presenti nella terza foto) e, soprattutto, andrebbe utilizzata una password diversa per ogni sito. Sempre su HIBP, è possibile verificare se una determinata password sia già stata violata o meno in altre credenziali, e quindi meno sicura. Inoltre, iscrivendosi a HIBP è possibile ricevere notifiche tempestive nel caso in cui si verificassero nuove violazioni dei propri account.
E tu sei mai stato “violato”?
Comentários