{"id":16806,"date":"2019-01-17T12:39:45","date_gmt":"2019-01-17T10:39:45","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=16806"},"modified":"2019-01-18T12:41:25","modified_gmt":"2019-01-18T10:41:25","slug":"collection-numba-one","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/collection-numba-one\/16806\/","title":{"rendered":"I miei dati si trovano su Collection #1. Cosa devo fare?"},"content":{"rendered":"

L\u2019esperto di privacy e sicurezza Troy Hunt ha pubblicato un post sul suo blog<\/a> riguardante il cosiddetto Collection #1, un esteso database apparso di recente su Internet che contiene oltre 700 milioni di indirizzi e-mail unici e oltre 1,1 miliardi di coppie username-password. Nel nostro post vi spiegheremo come capire se questa fuga di dati vi interessa personalmente e, in caso positivo, cosa fare per porvi rimedio.<\/p>\n\n

Le fughe di dati sono ormai cose che succedono e anche abbastanza spesso; ci sono casi, per\u00f2, in cui parliamo di fughe di enormi proporzioni. I cybercriminali raccolgono le informazioni filtrate e creano un database di login e password. Alcuni provano ad aggiungere a questi database le informazioni di successive fughe di dati che emergono man mano, e poco a poco si crea un database gigante come quello battezzato con il nome Collection #1, analizzato dall\u2019esperto Troy Hunt.<\/p>\n

\"\"<\/a><\/p>\n

Non si tratta di una fuga di dati mostruosa (come quella che ha interessato Yahoo! e i miliardi di credenziali di utenti rubate), questa volta parliamo di una mega raccolta di dati provenienti da oltre 2 mila fughe diverse di dati, alcune delle quali risalgono addirittura al 2008, altre invece sono pi\u00f9 recenti.<\/p>\n

Sorprendentemente, Collection #1 non sembra includere login e password di fughe di dati arcinote, come quella di LinkedIn del 2012<\/a> o i due incidenti che hanno coinvolto Yahoo! (nel caso vogliate rinfrescarvi la memoria, vi riproponiamo il post sulla fuga n\u00ba1<\/a> e la fuga n\u00ba 2 di Yahoo!<\/a>).<\/p>\n

Come sapere se Collection #1 riguarda anche me?<\/h3>\n

Per capire se una o pi\u00f9 delle vostre credenziali di accesso si trovino in questo database, potete consultare il sito haveibeenpwned.com<\/a>. Basta digitare l\u2019indirizzo e-mail a cui sono associati i vostri account e verificare se questo indirizzo si trova nei database filtrati di cui \u00e8 a conoscenza haveibeenpwned.com.<\/p>\n

Se il vostro indirizzo e-mail fa parte di Collection #1, apparir\u00e0 una voce su haveibeenpwned. Se cos\u00ec non dovesse essere, siete fortunati, non avete nulla di cui preoccuparvi. Tuttavia, se ne fate parte, allora la cosa si fa pi\u00f9 complicata.<\/p>\n

Cosa posso fare se il mio account \u00e8 menzionato nel database Collection #1?<\/h3>\n

Se sul sito compare il vostro indirizzo e-mail, vuol dire sicuramente che dovete fare qualcosa al riguardo. In ogni caso, questo servizio non vi dice a quale o quali account \u00e8 associato l\u2019indirizzo e-mail interessato. Si tratta di un account su un forum di criptovalute, un account di una libreria online, una community di amanti de gatti? Detto ci\u00f2, avete due opzioni a disposizione, dipende se avete utilizzato una sola password per diversi servizi oppure no<\/a>.<\/p>\n

Opzione n\u00ba1: state impiegando una sola password per account diversi, i quali sono associati all\u2019indirizzo e-mail coinvolto nel database. Allora non avrete vita facile perch\u00e9, per dormire davvero sonni tranquilli, dovrete passare a rassegna tutti questi account e modificare ognuna di queste password. Non dimenticate che le nuove password devono essere lunghe, complesse e uniche. Se siete soliti ricordare una sola password, cercare di memorizzarne molte e cos\u00ec diverse sar\u00e0 praticamente impossibile, per cui forse sarebbe il caso di ricorrere a un password manager.<\/p>\n\n

Opzione n\u00ba 2: state impiegando password uniche sugli account associati all\u2019indirizzo e-mail in questione. Buone notizie, non \u00e8 poi cos\u00ec difficile rimediare. Ovviamente potreste comunque cambiare tutte le password, ma in questo caso non \u00e8 strettamente necessario. Potreste anche provare a scoprire quale di queste password sia stata coinvolta nel database avvalendovi di un\u2019altra funzionalit\u00e0 di haveibeenpwned che si chiama Pwned Passwords<\/a>.<\/p>\n

Potete digitare la password di uno dei vostri account e verificare se si trova nel database Collection #1, in plain text o come hash<\/a>. Se questa o un\u2019altra password compare almeno una volta su haveibeenpwned, fareste meglio a cambiarla. Altrimenti, siete al sicuro e potete procedere alla verifica di un\u2019altra password che vi preoccupa.<\/p>\n

Naturalmente, se procedete in questo modo vuol dire che vi fidate di haveibeenpwned e la magior parte delle persone non ha motivi per farlo. Per questo potete anche copiare un hash SHA-1 della vostra password e otterrete lo stesso risultato che avreste copiando la password cos\u00ec com\u2019\u00e8. Online troverete molte risorse online per creare hash SHA-1 dalle informazioni fornite (abbiamo fatto una piccola ricerca per voi su Google<\/a>). In questo modo non \u201crivelerete\u201d le vostre password e vi sentirete certamente pi\u00f9 tranquilli.<\/p>\n

Consigli generali di protezione, per evitare di venire coinvolti in fughe di dati di questo tipo<\/h3>\n

Negli ultimi anni siamo stati testimoni di numerose fughe di dati e sicuramente assisteremo a molte altre in futuro. Per questo motivo, di tanto in tanto emergeranno altri nuovi e grandi database come Collection #1 e i cybercriminali saranno ben contenti di utilizzarli per cercare di violare gli account degli utenti. Per ridurre al minimo le possibilit\u00e0 di essere coinvolti in tali fughe di darti, vi consigliamo di fare quanto segue:<\/p>\n