I miei dati si trovano su Collection #1. Cosa devo fare?

17 Gen 2019

L’esperto di privacy e sicurezza Troy Hunt ha pubblicato un post sul suo blog riguardante il cosiddetto Collection #1, un esteso database apparso di recente su Internet che contiene oltre 700 milioni di indirizzi e-mail unici e oltre 1,1 miliardi di coppie username-password. Nel nostro post vi spiegheremo come capire se questa fuga di dati vi interessa personalmente e, in caso positivo, cosa fare per porvi rimedio.

Le fughe di dati sono ormai cose che succedono e anche abbastanza spesso; ci sono casi, però, in cui parliamo di fughe di enormi proporzioni. I cybercriminali raccolgono le informazioni filtrate e creano un database di login e password. Alcuni provano ad aggiungere a questi database le informazioni di successive fughe di dati che emergono man mano, e poco a poco si crea un database gigante come quello battezzato con il nome Collection #1, analizzato dall’esperto Troy Hunt.

Non si tratta di una fuga di dati mostruosa (come quella che ha interessato Yahoo! e i miliardi di credenziali di utenti rubate), questa volta parliamo di una mega raccolta di dati provenienti da oltre 2 mila fughe diverse di dati, alcune delle quali risalgono addirittura al 2008, altre invece sono più recenti.

Sorprendentemente, Collection #1 non sembra includere login e password di fughe di dati arcinote, come quella di LinkedIn del 2012 o i due incidenti che hanno coinvolto Yahoo! (nel caso vogliate rinfrescarvi la memoria, vi riproponiamo il post sulla fuga nº1 e la fuga nº 2 di Yahoo!).

Come sapere se Collection #1 riguarda anche me?

Per capire se una o più delle vostre credenziali di accesso si trovino in questo database, potete consultare il sito haveibeenpwned.com. Basta digitare l’indirizzo e-mail a cui sono associati i vostri account e verificare se questo indirizzo si trova nei database filtrati di cui è a conoscenza haveibeenpwned.com.

Se il vostro indirizzo e-mail fa parte di Collection #1, apparirà una voce su haveibeenpwned. Se così non dovesse essere, siete fortunati, non avete nulla di cui preoccuparvi. Tuttavia, se ne fate parte, allora la cosa si fa più complicata.

Cosa posso fare se il mio account è menzionato nel database Collection #1?

Se sul sito compare il vostro indirizzo e-mail, vuol dire sicuramente che dovete fare qualcosa al riguardo. In ogni caso, questo servizio non vi dice a quale o quali account è associato l’indirizzo e-mail interessato. Si tratta di un account su un forum di criptovalute, un account di una libreria online, una community di amanti de gatti? Detto ciò, avete due opzioni a disposizione, dipende se avete utilizzato una sola password per diversi servizi oppure no.

Opzione nº1: state impiegando una sola password per account diversi, i quali sono associati all’indirizzo e-mail coinvolto nel database. Allora non avrete vita facile perché, per dormire davvero sonni tranquilli, dovrete passare a rassegna tutti questi account e modificare ognuna di queste password. Non dimenticate che le nuove password devono essere lunghe, complesse e uniche. Se siete soliti ricordare una sola password, cercare di memorizzarne molte e così diverse sarà praticamente impossibile, per cui forse sarebbe il caso di ricorrere a un password manager.

Opzione nº 2: state impiegando password uniche sugli account associati all’indirizzo e-mail in questione. Buone notizie, non è poi così difficile rimediare. Ovviamente potreste comunque cambiare tutte le password, ma in questo caso non è strettamente necessario. Potreste anche provare a scoprire quale di queste password sia stata coinvolta nel database avvalendovi di un’altra funzionalità di haveibeenpwned che si chiama Pwned Passwords.

Potete digitare la password di uno dei vostri account e verificare se si trova nel database Collection #1, in plain text o come hash. Se questa o un’altra password compare almeno una volta su haveibeenpwned, fareste meglio a cambiarla. Altrimenti, siete al sicuro e potete procedere alla verifica di un’altra password che vi preoccupa.

Naturalmente, se procedete in questo modo vuol dire che vi fidate di haveibeenpwned e la magior parte delle persone non ha motivi per farlo. Per questo potete anche copiare un hash SHA-1 della vostra password e otterrete lo stesso risultato che avreste copiando la password così com’è. Online troverete molte risorse online per creare hash SHA-1 dalle informazioni fornite (abbiamo fatto una piccola ricerca per voi su Google). In questo modo non “rivelerete” le vostre password e vi sentirete certamente più tranquilli.

Consigli generali di protezione, per evitare di venire coinvolti in fughe di dati di questo tipo

Negli ultimi anni siamo stati testimoni di numerose fughe di dati e sicuramente assisteremo a molte altre in futuro. Per questo motivo, di tanto in tanto emergeranno altri nuovi e grandi database come Collection #1 e i cybercriminali saranno ben contenti di utilizzarli per cercare di violare gli account degli utenti. Per ridurre al minimo le possibilità di essere coinvolti in tali fughe di darti, vi consigliamo di fare quanto segue:

  • Utilizzate password uniche, lunghe e robuste per ogni account. In questo modo, se viene violata la sicurezza di uno dei servizi che state utilizzando, solo dovrete cambiare una password;
  • Attivate l’autenticazione a due fattori dove possibile. Eviterà che gli hacker possano entrare nel vostro account anche avendo a disposizione login e password;
  • Avvaletevi di soluzioni di sicurezza come Kaspersky Security Cloud, che vi metteranno in guardia dalle ultime fughe di dati;
  • Utilizzate un password manager che vi aiuti a creare varie password uniche e robuste e senza dover memorizzarle tutte. I password manager vi aiutano anche a modificare le vostre password più rapidamente nel caso ce ne sia bisogno. Kaspersky Password Manager si occupa in maniera egregia di questi due compiti così importanti.