16 miliardi di password Apple, Google e Facebook esposte: “Violazione senza precedenti”
Sedici miliardi di password di account Apple, Facebook, Google e altri servizi online sarebbero stati violati. Lo rivelano i ricercatori del sito specializzato in sicurezza informatica Cybernews. Si tratterebbe della più grande violazione di credenziali mai scoperta. Tra le password rubate ci sarebbero anche quelle relative ad account di servizi governativi.
La fuga di dati avrebbe esposto oltre 16 miliardi di credenziali e password. Secondo Forbes (che ha collaborato all’inchiesta) Google avrebbe invitato due miliardi di utenti a cambiare le proprie password. Negli Stati Uniti, l'FBI ha messo in guardia i cittadini contro link sospetti ricevuti via SMS.
La più grande violazione di dati mai scopertaI ricercatori hanno individuato “30 set di dati esposti, contenenti da decine di milioni fino a oltre 3,5 miliardi di record ciascuno”, si legge. Tutti, tranne uno, non erano mai stati pubblicati prima: si tratterebbe quindi di dati nuovi. È plausibile che anche account italiani siano coinvolti, ma al momento da parte delle aziende non ci sono conferme ufficiali.
Secondo le analisi emerse finora (e come confermato da esperti sentiti da Italian Tech) è molto probabile che questa fuga di credenziali derivi in gran parte da una raccolta di infostealer, ovvero malware progettati per rubare informazioni sensibili da dispositivi infetti. Tra queste: username e password salvate nei browser, cookie di sessione (che permettono l’accesso automatico ai siti), dati bancari o carte di pagamento memorizzate, file locali e perfino screenshot.
L’esperto: “Attivare l’autenticazione a due fattori”"Al momento l’ipotesi più accreditata è comunque che si tratti di una semplice collezione di password già emerse in precedenti data breach”, spiega a Italian Tech Matteo Flora, esperto di sicurezza informatica. “Tuttavia, anche se non si trattasse di un nuovo furto di dati, è un ottimo momento per rivedere le proprie misure di sicurezza digitale: attivate l’autenticazione a due fattori, magari passando dal semplice numero di cellulare di verifica ad una più sicura un’app di autenticazione o, ancora meglio, a una Passkey”, aggiunge.
È una delle poche difese realmente efficaci in uno scenario dove i database di credenziali rubate sono sempre più grandi e facili da reperire.
“Non si tratta solo di una fuga di password, ma di un progetto di sfruttamento su larga scala”, hanno dichiarato i ricercatori a Forbes. “Questi dati sono terreno fertile per attacchi di phishing e furti di account. Non stiamo parlando solo di vecchie violazioni riciclate, ma di informazioni nuove, potenzialmente pericolose e immediatamente utilizzabili”.
Quali password, quali datiLa maggior parte di queste informazioni era in formato URL, seguita da login e password, il che consentiva l’accesso diretto a quasi tutti i servizi online immaginabili: da Apple, Facebook e Google, fino a GitHub, Telegram e vari portali governativi.
Nonostante la gravità della scoperta, i ricercatori spiegano che i dati sono rimasti pubblici per un tempo relativamente breve. Un periodo sufficiente perché potessero essere intercettati da attori malevoli, ma troppo breve per capire chi ne fosse il reale controllore.
La Repubblica
