Ancora una volta, potrebbe non essere una cattiva idea modificare le vostre password. Un nuovo allarme di inedite proporzioni è stato lanciato ieri dal team del Kromtech Security Research Center e poi confermato dalle verifiche tecniche del ricercatore di sicurezza Troy Hunt: in Rete esiste un database contenente più di 560 milioni di credenziali di account di posta elettronica e parole chiave, raccolti da fonti diverse nel corso di svariati anni, e reso disponibile online (la fonte è un indirizzo IP di ignota proprietà). Eventuali “clienti” interessati al servizio dovrebbero semplicemente acquistare l'archivio e usare dei software di automazione delle procedure di login. Con questo metodo diventa possibile attaccare siti, piattaforme e servizi Web riproducendo attività apparentemente lecite e “umane” con un software, e dunque accedere a dati riservati di vario tipo.
I 560 milioni di credenziali dal database sono il bottino di precedenti data breach, eseguiti negli anni scorsi ai danni di servizi molto popolari. Almeno una decina,a detta di Kromtech, e includendo nell'elenco LinkedIn, Dropbox, Lastfm, MySpace, Adobe, Neopets. RiverCityMedia, 000webhost, Tumblr, Badoo e Lifeboat.
Ecco perché è essenziale che i titolari di account su queste piattaforme modifichino le proprie password nel caso già non lo avessero fatto alla luce di recenti notifiche di sicurezza. Sul suo sito Have I Been Pwned, Troy Hunt permette agli internauti che fossero in dubbio di verificare se le proprie username e password siano state violate in passato.
Ad aggravare la portata dei danni, in circostanze come questa, c'è la nota e infausta abitudine al riciclo delle password. Il numero uno di Facebook, Mark Zuckerberg, è stato una vittima illustre l'anno scorso: dal suo profilo di LinkedIn, violato nel 2012 in una famigerata operazione di data breach (117 milioni di credenziali rubate), i criminali informatici erano poi risaliti ai login di Pinterest e Twitter. Servizi come Dropbox hanno più volte invitato i propri iscritti a rimettere mano alle credenziali di accesso, proprio alla luce dell'attacco a LinkedIn.