Sul Web c’è un supermarket di account personali. Scopri se il tuo è stato compromesso!
In un mondo informatizzato come quello moderno il nostro alter ego digitale è rappresentato dai vari account di cui disponiamo presso i siti più importanti. Le e-mail, i forum, l’archiviazione cloud, i negozi on-line: ciascuno di questi servizi richiede delle credenziali di accesso, tipicamente un nome utente e una password. La sicurezza delle nostre identità digitali dipende, dunque, dalle password che scegliamo.
Ma ricordarne tante tutte diverse risulta difficile e, soprattutto quando si hanno tanti account, la tentazione di utilizzare sempre la stessa chiave d’accesso per diversi servizi è molto forte. Tuttavia questa decisione è molto pericolosa: infatti, nel caso in cui un pirata riuscisse a scoprire una nostra password, proverebbe immediatamente a collegare gli altri nostri account (per esempio, se scopre la password della nostra e-mail può leggere i messaggi ricevuti dai siti Web e scoprire a quali di essi siamo registrati) e tenterebbe di entrare in essi utilizzando la stessa password che ha appena scoperto.
L’ultima vittima eccellente dei colossali furti di password è il servizio di cloud storage Dropbox (www.dropbox.com). Sul sito leak-base.com sono stati registrati ben 68 milioni di account Dropbox ai quali sarebbe stata rubata la password. Il furto, però, è avvenuto nel 2012, quindi gli account creati dopo il 2012 sono automaticamente esclusi da questo massiccio furto.
I gestori di Dropbox hanno confermato che i 60 milioni di account sono effettivamente stati crackati, ma visto che è passato molto tempo è molto probabile che alcuni degli account non siano più esistenti o comunque abbiano una password diversa rispetto a quella di quattro anni fa. Sul sito leakbase si può verificare se il proprio account.
Un archivio Web da paura!
■| Gli account piratati di Dropbox sono stati inseriti, assieme a quelli di altri siti Web, nel database di Leakbase. L’archivio, che contiene milioni di account, può essere consultato tramite la pagina Web https://leakbase.pw/ landing.php. Prima di accedere alla pagina vera e propria, il nostro indirizzo IP viene controllato per impedirne l’uso tramite rete Tor, quindi siamo identificabili.
^ Abbiamo trovato gualche risultato?
3 Eseguita la ricerca, i risultati appaiono alla fine della pagina Web. Naturalmente Leakbase indica diversi account relativi all’indirizzo e-mail da noi specificato ai quali sia stata rubata la password, non solo Dropbox. Per motivi di “riservatezza’’ il sito ci indica semplicemente il numero di account che ha trovato nel suo database, senza offrire ulteriori dettagli.
Scopriamo se siamo stati piratati
Ecco come eseguire una ricerca nel database on-line dejgli account rubati. Solo così potremo scoprire se il nostro account Dropbox è stato violato. Speriamo, ovviamente, di non trovare la nostra e-mail nella lista!
lina verifica per accedere all’archivio
2 È possibile eseguire la ricerca dell’account inserendo il nostro nome di login o più semplicemente l’e-mail associata all’account Dropbox. Per questioni di sicurezza il sito richiede lo svolgimento di un captcha visivo: le immagini da selezionare sono tre, seguendo l’indicazione che riceviamo. In questo modo il database non può essere consultato da robot automatizzati.
Per poter avere maggiori informazioni sugli account identificati, è necessario registrarsi al sito e pagare un abbonamento. Il prezzo ovviamente varia a seconda del tempo per il quale vogliamo poter accedere ai risultati. Questa precauzione serve a scoraggiare i pirati, visto che eseguendo un pagamento si finisce inevitabilmente per essere identificabili in modo univoco.
Ma come fa un pirata a scoprire una delle nostre password? Esistono diverse possibilità, ma le due più comuni sono quasi banali: può provare tutte le combinazioni possibili di lettere e numeri fino a trovare quella giusta oppure può con qualche trucco convincere noi stessi ad inviargliela. La prima possibilità è il cosiddetto brute force: il metodo è di per sé infallibile, perché è ovvio che provando tutte le combinazioni possibili prima o poi si trova quella giusta, a prescindere da quanto complicata possa essere la password.
Tuttavia è un metodo che richiede molto tempo: ecco, dunque, che la robustezza della password è fonda-mentale. Infatti, una password troppo corta e facile, come “1234” oppure “alligatore3”, viene scoperta molto rapidamente da un meccanismo di brute force, soprattutto se abbinato ad un dizionario (significa che prima di tentare le combinazioni casuali si provano delle combinazioni di numeri e parole molto comuni).
La seconda opzione è più frequente di quanto si possa immaginare e prevede di perpetrare il furto delle credenziali utilizzando attacchi di tipo phishing. In poche parole, usando sofisticate tecniche di ingegneria sociale, i malfattori provano a convincerci a fornire loro i nostri dati personali. Sembra impossibile, eppure negli ultimi tempi questa particolare tecnica di attacco sta dando molte “soddisfazioni” ai pirati!
LEGGI ANCHE: Come trasformare il router in fibra