Gli attacchi di tipo
credential stuffing sono comunemente sfruttati da parte dei criminali informatici con il preciso obiettivo di provare ad accedere ad altri account online appartenenti agli stessi utenti. Come? Sfruttando uguali credenziali o password leggermente modificate rispetto a quelle rinvenute in attacchi condotti nei confronti dei fornitori di vari servizi online o nel corso di campagne
phishing.
Moltissimi utenti, purtroppo, ancora oggi adoperano la stessa password su più servizi non soppesando il pericolo intrinseco di questa pratica: vedere l'articolo
Creare password sicura: oggi ricorre il World Password Day.
E pensare che i meccanismi di
autenticazione a due fattori permettono di spazzare via ogni rischio di aggressione e sottrazione dei propri dati personali:
Verifica in due passaggi Google: solo 10% degli utenti la usano.
L'ideatore e amministratore del noto servizio
Have i been pwned, Troy Hunt, ha fatto presente di aver
individuato su un forum incentrato sulle tecniche di hacking e cracking un archivio contenente qualcosa come 773 milioni di indirizzi email unici e 21 milioni di password.
Dopo una prima analisi del contenuto dell'archivio, che Hunt ha battezzato '
Collection #1', il ricercatore ha potuto verificare come
addirittura 140 milioni di indirizzi email e 10 milioni di password non fossero presenti nel database di Have I been pwned: si tratta quindi di dati del tutto nuovi
che arrivano presumibilmente da fonti molto diverse (e quindi da singoli attacchi sferrati nel corso del tempo nei confronti di diversi soggetti).
I dati che si possono trovare nell'archivio
Collection #1 appaiono molto accurati e gli utenti potrebbero facilmente individuare password che hanno utilizzato nel corso del tempo.
Cosa fare? Il consiglio migliore resta quello di utilizzare il servizio Have i been pwned: se, inserendo il proprio indirizzo email, venissero restituiti riferimenti a
Collection #1 è bene attivarsi subito per modificare le password utilizzate sui vari servizi (account di posta, social, piattaforme online,...) in cui si utilizza lo stesso account di posta per il login.
Fonte:
www.ilsoftware.it