Michele Pinassi“To own, to defeat or dominate (someone or something, especially a game or someone playing a game)”
Periodicamente anche sulla stampa mainstream compaiono notizie allarmistiche sui cosiddetti “data breach“, violazione di dati. Si tratta, essenzialmente, del furto di grandi quantità di dati da database non sicuri, che possono contenere indirizzi e-mail, credenziali, password e molte altre informazioni.
Negli scorsi mesi ha creato scalpore la violazione, ad esempio, del portale Rousseau del M5S, con tanto di dump delle tabelle contenenti gli indirizzi e-mail dei donatori e molto altro.
Violazioni di questo tipo sono piuttosto frequenti (pensiamo ad esempio al caso Ashley Madison, il famoso portale di incontri, con il leak -nel 2015- di oltre 25 GByte di dati, compresi indirizzi e-mail e password dei 32 milioni di iscritti….) e spesso segue la pubblicazione in rete dei dati rubati, a testimonianza dell’avvenuta violazione. L’ultima, in ordine di tempo, è una massiccia violazione di oltre 711 milioni di indirizzi e-mail e relative credenziali raccolti da uno spambot, che ha collezionato milioni di credenziali di autenticazione per inviare lo spam attraverso server legittimi, superando i filtri antispam. Sia chiaro, l’accesso abusivo ad un sistema informatico è un reato.
Per gli utenti della Rete, azioni di questo tipo sono potenzialmente pericolose per svariati motivi, soprattutto se non si sono adottate le dovute cautele nella scelta della password: ad esempio, se per comodità utilizziamo sempre la medesima password, una volta scoperta sarà semplice violare tutti gli altri servizi a cui siamo registrati ! Infatti, anche se sarebbe buona norma memorizzare le password sotto forma cifrata, avvalendosi di un tool come John the Ripper ed un buon vocabolario, è possibile craccare in poco tempo le password più semplici.
Da qui si comprende la necessità di:
- usare password complesse, per quanto possibile e permesso dal sistema;
- usare sempre password differenti per ogni servizio a cui ci registriamo;
- cambiare periodicamente la password;
Per verificare se il nostro indirizzo e-mail è contenuto in qualche database violato, quindi potenzialmente vulnerabile, è possibile provare a fare una ricerca sul portale Have i been pwned ? .com ed inserire l’indirizzo da verificare. Se l’email era contenuta in qualche data breach, il sistema risponde indicando anche in quale evento è stato trovato il vostro indirizzo:
Attenzione, trovarsi pwned non vuol dire automaticamente aver subito una violazione. Tuttavia questo invita a verificare al più presto che non siano state fatte operazioni abusive con le proprie credenziali e richiede, come buona abitudine, l’immediato cambio della password.
E’ inoltre possibile rimanere aggiornati sulle violazioni aggiunte al portale seguendo il relativo account Twitter @haveibeenpwned.
