Il furto delle credenziali è spesso l’inizio di un incubo, perciò i gestori tengono nascosti i databreach, ma c’è un modo per sapere se siamo stati derubati dei nostri dati
Le società colpite sono restie a farlo sapere, ma negli ultimi anni sono stati violati miliardi di account di posta elettronica. Il caso più eclatante in ordine di tempo è relativo al furto di un miliardo di nomi, password e altri dati degli account di Yahoo! Il ritardo nella comunicazione dei databreach dell’azienda è oggi sotto la lente degli investigatori della borsa americana (SEC).
Nel 2016 negli attacchi sono rimaste coinvolte anche altre grandi aziende, e il furto dei dati potrebbe essere l’inizio di un incubo per i malcapitati che li usano per operazioni bancarie, fare acquisti online, ricevere dati e analisi cliniche. Quei dati possono essere usati non solo per diffondere virus ma anche per accedere e svuotare i conti online degli utenti con operazioni di social engineering risalendo dalla posta elettronica a nomi e accessi, spacciandosi per l’utente legittimo della mailbox hackerata.
Per questo è importante proteggere il proprio account di posta a cominciare dall’uso di password complesse o di key manager affidabili e di cambiarle spesso, evitando di lasciarle scritte su di un post-it attaccato al monitor del computer.
Però intanto se si ha qualche dubbio che il proprio account di posta sia stato compromesso è possibile usare alcuni siti che raccolgono in giganteschi database le email hackerate: Leaked Source, Have I been pwned?, CheckPoint.
Leaked source
Leaked Source, è un portale che permette di accedere a un database per la ricerca di nome utente, indirizzo email, indirizzo IP, nome e cognome e perfino numero di telefono per scoprire se l’email è stata hackerata.
LeakedSource, salito alla ribalta per aver rivelato di essere entrata in possesso di circa 32 milioni di account Twitter inviatigli da una fonte anonima, “[email protected]”, sostiene che ha dati relativi a indirizzi email, nome utente e password non solo provenienti da milioni di mailbox, ma anche da Linkedin, Badoo e altri servizi.
L’ammontare di questi dati sarebbe pari a 3 miliardi di credenziali. LeakedSource offre a chiunque la possibilità di verificare l’esistenza di proprie credenziali nel database, inserendovi i propri dati. Ha anche una funzione chiamata Wildcard: basta aggiungere il simbolo “*” al proprio termine di ricerca per estendere la ricerca a tutti i risultati simili (scrivendo “John *” il motore restituirà tutti gli utenti di nome “John”). Il motore di ricerca fornirà una lista di tutti i servizi in cui quella chiave di ricerca risulta compromessa. Il servizio è a sottoscrizione per vedere i dati relativi a un account compromesso e la sua origine.
Have I been pwned?
Have I been pwned? di Troy Hunt contiene oltre 2 miliardi di account compromessi e consente di sapere se il proprio indirizzo di posta elettronica sia tra questi. Facile da usare, si accede al sito, si inserisce come chiave di ricerca la propria email e si ottiene il risultato: verde, se account o nome non sono presenti nel database; rosso in caso contrario. Il servizio di notifica messo a disposizione dal sito invia un messaggio se i propri dati sono stati hackerati. Il servizio è gratuito ed è possibile fare una donazione per il suo utilizzo anche in bitcoin.
Gooligan checker
Gooligan checker è invece il servizio offerto da CheckPoint, società che si occupa di sicurezza online.
In occasione della diffusione del virus Gooligan la società ha messo a punto un motore di ricerca per capire se il proprio account di Google è stato compromesso.
I suoi ricercatori nel dicembre del 2016 hanno infatti scoperto una campagna malware che ha attaccato i dispositivi Android infettando 13 mila dispositivi al giorno per rubare indirizzi e-mail e token di autenticazione custoditi negli smartphone Android. Il malware ha permesso così di violare almeno un milione di account Gmail, Google Photos, Google Docs, Google Play e Google Drive.
Per questo Checkpont ha predisposto un motore di ricerca affinché ciascuno possa verificare se il proprio account è stato compromesso dal malware. Funziona come Have I been pwned? e Leaked Source: si inserisce l’indirizzo di posta elettronica e si scopre se si è stati vittima del virus.
Come fanno a sapere che siamo stati hackerati?
Non è chiaro tuttavia come questi portali vengano in possesso dei dati rubati. Interpellati al proposito, i gestori hanno sempre dichiarato di aver trovato i database frutto di furti e attacchi nel dark web o come risultato della donazione di anonimi hacker.
In realtà fanno frequente uso di tecniche di deep-web scavenging (una sorta di ricerca tra i dati spazzatura nel web) e di rumor-chasing (che significa più o meno inseguire le indiscrezioni e i rumors della rete). Ma altre ipotesi sono possibili.
UPDATE: da giovedì 26 gennaio il sito di LeakedSource risulta offline