Un mastodontico “bottino” di data breach è stato trovato online, sul servizio di hosting Mega, e sarebbe l’ennesima notizia del suo genere se non fosse per le dimensioni: in un archivio nominato Collection #1 erano contenuti quasi 2,7 miliardi di righe, corrispondenti a 87 GB di dati, raccolti da migliaia di fonti differenti. Il risultato di diversi hackeraggi compiuti in passato e poi raccolti in un’unica gigantesca lista. Eliminando i doppioni, il database conteneva quasi 773 milioni di indirizzi email univoci e poco meno di 22 milioni di password uniche.
La scoperta è stata segnalata dal noto ricercatore di sicurezza Troy Hunt, l’autore di Have I been pwned. Per chi non lo conoscesse, si tratta di un servizio che permette di verificare in poche mosse se la propria casella di posta sia finita nel “bottino” di qualche operazione di furto dati, anche risalente ad anni addietro: digitando un indirizzo all’interno della maschera di ricerca si visualizzano i riferimenti della violazione o delle violazioni informatiche che hanno permesso a soggetti ignoti di ottenere quella email. Gli utenti registrati possono anche verificare se la propria email sia stata oggetto di data breach che hanno ottenuto dati “sensibili”, quali password o numeri di carta di credito. In alternativa, anche chi non è registrato può fare una simile verifica con il motore di ricerca Password pwned.
E il problema di Collection #1 sono proprio le password. Alcune, tra cui quella dello stesso Hunt, erano chiaramente leggibili cioè non più crittografate tramite hashing. “Posso dire che i miei dati personali sono presenti e accurati e che indirizzi email e password da me usate molti anni fa sono corretti”, ha scritto il ricercatore, a conferma della validità dei contenuti del database.
La parzialissima buona notizia è che l’archivio è stato ora rimosso da Mega, a seguito di alcune segnalazioni di utenti sul forum del servizio di hosting. La cattiva è che “se siete all’interno di questo breach”, ammonisce Hunt, “una o più password che abbiate usato in passato stanno circolando, esposte agli occhi altrui”. Insomma, a distanza di anni persistono ancora le conseguenze di passate violazioni informatiche di massa, come quelle ai danni di Dropbox nel 2014, di Yahoo (attaccata a più riprese) e di Tumblr nel 2016.