Contenuto
- Troy Hunt, creatore di I I Been Pwned, ha annunciato la violazione dei dati della raccolta n. 1.
- La raccolta di file contiene milioni di indirizzi e-mail e password compromessi.
- I dati compromessi presumibilmente provengono da 2.000 database.
Al giorno d'oggi le violazioni dei dati sono diventate così comuni che siamo diventati quasi insensibili a loro. Tuttavia, Troy Hunt, creatore di ricerche sulla sicurezza e Have I Been Pwned, ha appena segnalato una violazione dei dati che danneggerebbe a lungo: la raccolta n. 1.
La raccolta n. 1 è un file di grandi dimensioni che è stato recentemente caricato nel servizio di archiviazione cloud Mega. Il file contiene 12.000 file separati che contengono 87 GB di dati.
Cosa c'è nei dati, potresti chiedere? 772.904.991 indirizzi e-mail univoci e 21.222.975 password univoche. Un problema significativo sono le password rubate che hanno incrinato l'hash protettivo. Ecco perché le password vengono visualizzate come testo normale anziché essere crittografate in modo crittografato quando i siti Web vengono violati.
Ora e-mail 768.253 persone che si sono abbonate per le notifiche e altri 39.923 che stanno monitorando i domini ...
- Troy Hunt (@troyhunt) 16 gennaio 2019
Queste password incrinate consentono un secondo problema, una pratica chiamata ripieno di credenziali. Il riempimento delle credenziali avviene quando vengono utilizzate combinazioni di nome utente o email / password violate per accedere all'account di qualcun altro. Gli aggressori non hanno bisogno di forzare la forza o di indovinare le password: possono semplicemente automatizzare gli accessi.
Il riempimento delle credenziali è particolarmente preoccupante per coloro che utilizzano la stessa combinazione di nome utente e password tra siti Web.
Accade solo che la raccolta n. 1 contenga quasi 2,7 miliardi di combinazioni. Accade anche che all'incirca 140 milioni di indirizzi e-mail e 10 milioni di password della raccolta n. 1 siano nuovi nel database di Have I Been Pwned.
Non dimentichiamo inoltre la natura decentralizzata della Collezione n. 1. Le violazioni precedenti di solito avevano un rivestimento d'argento comune: ogni violazione poteva essere legata a un sito Web. Non è così con questa violazione, che comprende violazioni in 2000 database.
In questo caso, l'unico possibile rivestimento d'argento è che Hunt non sa se ogni singola violazione della Collezione n. 1 è legittima. Tuttavia, Hunt ha anche affermato che questa è "la singola più grande violazione mai caricata in HIBP".
Cosa dovrei fare?
Per prima cosa, vai a Sono stato investito e digita il tuo indirizzo email. Il sito ti consente di sapere se un account che utilizza quell'indirizzo e-mail è stato compromesso.
Se hai già utilizzato Have I Been Pwned, dovresti aver ricevuto una notifica della violazione. Quasi la metà degli utenti del sito è coinvolto nella violazione, quindi tienilo a mente se sei un membro.
Da lì, fai clic suLe password scheda nella parte superiore di Sono stato investito. Pwned Passwords ti consente di sapere se la tua password è stata compromessa e ti aiuta a utilizzare password complesse.
Se disponi di un indirizzo email e di password compromesse, è tempo di ripulire le tue pratiche relative alle password. Se un sito lo supporta, utilizzare l'autenticazione a due fattori. Potrebbe non essere infallibile, ma l'autenticazione a due fattori aiuta a dissuadere la maggior parte che potrebbe voler accedere al tuo account.
Puoi anche evitare di usare la stessa password su più siti. È allettante usare la stessa password per comodità, ma la pratica è una pericolosa spada a doppio taglio.
Infine, utilizza un gestore di password. 1Password, Dashlane e LastPass sono tre delle opzioni più popolari là fuori, anche se puoi anche usare il metodo collaudato di carta e penna.
Oh, e cambia la tua password. Cambia sicuramente la tua password. Rendilo qualcosa di complesso, qualcosa che non può essere trovato in un dizionario.
