Hanno rubato sedici miliardi di password per davvero? Attenti ai facili allarmismi

Hanno rubato sedici miliardi di password: questo l’allarme lanciato da diverse testate giornalistiche italiane, di cui mostreremo giusto qualche titolo senza andare a linkarle una per una.

Non si vorrà certo dire che siamo i cattivoni che vogliono fare ombra ai “professionisti dell’informazione”, anche se, sinceramente, gli stessi due domande potrebbero porsele prima di pubblicare.

Capirebbero che esiste una differenza tra un data breach da sedici milioni di password e una raccolta di vecchie crendenziali stratificate in diverse occasioni e rimesse in giro.

Hanno rubato sedici miliardi di password per davvero? Attenti ai facili allarmismi

Sarebbe bastata una verifica come quella che per CyberSecurity360 ha effettuato l’ingegner Paolo Tarsitano.

“Non ci troviamo dinanzi alla “madre di tutte le violazioni”: i 16 miliardi di password non derivano da un nuovo attacco ad aziende in rete, ma da vecchie credenziali rubate e aggregate”, conferma anche Pierluigi Paganini, analista di cyber security e Ceo Cybhorus, riportato dal testo dell’ingegner Tarsitano assieme ad una pletora di esperti del settore.

Hanno rubato sedici miliardi di password per davvero? Attenti ai facili allarmismi

Il dato è come la materia stessa secondo le leggi della Termodinamica: nulla si crea, nulla si distrugge, ma tutto si conserva.

Come ci ricorda Dario Fadda, esperto di cyber sicurezza  “se io prendo una collezione di tot credenziali, ne aggiungo di altre trovate in giro, magari usando l’ultima più grande collezione apparsa, avrò sempre un nuovo archivio più grande del primo, ma non sono password rubate ora”.

Cosa comporta questo?

Nel corso degli anni ci sono stati diversi data breach, anche consistenti. Ci sono stati anche casi di Phishing, e ne abbiamo visti anche noi tanti. Intendiamo le varie offerte di “beni di lusso a due euro se fornite i dati dei vostri account social e una carta di credito valida” e “link per non farsi bloccare gli account fornendo nome utente e password“.

Tutti questi dati continuano ad esistere, passando di raccolta in raccolta negli anni.

Si spera abbiate cambiato le password ad ogni notifica di data breach. Si spera le cambiate comunque con una certa frequenza (anche se  l’appuntamento periodico della “password cambiata ogni 90 giorni” si è dimostrato una prassi obsoleta, bene sarebbe prestare attenzione).

Si spera abbiate l’autenticazione a doppio fattore, con la notifica sul cellulare, oggetto che ormai tutti possiedono.

E questo limita già di molto i problemi.

Ma esistono anche persone che raccolgono e comprano set di dati con password obsolete: un po’ nella speranza di beccare lo “sveglione” che non cambia la password dalla Grande Guerra del ’15-’18, crede che la 2FA sia un miserabile orpello che gli fa perdere tempo ed efficienza costringendolo a ben un minuto di controllo sul cellulare, un po’ perché anche dataset con password ormai obsolete e cambiate sono elenchi eccellenti di indirizzi email cui inviare richieste truffaldine sperando che ci è cascato in passato lo rifaccia.

Questo non significa di certo che ci sono miliardi di password coinvolte in un nuovo Data Breach.

Significa ancora una volta che bisognerebbe stare attenti prima di scrivere e non creare allarmismo.

Se il nostro servizio ti piace sostienici su PATREON o con una donazione PAYPAL.