Il ricercatore di sicurezza Troy Hunt, noto per il suo servizio di allerta Have I Been Pwned, ha segnalato l’esistenza di un archivio, circolante in Rete, di circa 773 milioni di indirizzi di mail con relative password. Se volete sapere se il vostro indirizzo è in questo archivio, digitatelo (l’indirizzo, non la password) nella casella apposita di HIBP.
Attenzione: se il vostro indirizzo di mail risulta nell’archivio, non vuol dire necessariamente che è stato violato il vostro account di mail: vuol dire che è stato compromesso uno dei servizi ai quali vi siete iscritti usando quell’indirizzo.
La questione mi tocca personalmente, perché ho ricevuto anch’io un avviso da HIBP (screenshot qui accanto), visto che sono iscritto al suo servizio di allerta.
Il problema è che per quel che ho capito leggendo lo spiegone di Troy Hunt, HIBP non mi dice quale dei miei tanti account per servizi online che ho associato a quell’indirizzo di mail è stato violato.
Ho password differenti e molto robuste per ogni servizio, e ho l’autenticazione a due fattori dappertutto; può darsi che sia un falso allarme e l’archivio contenga dati vecchi (come è successo anche a Troy Hunt) o farlocchi per farne aumentare il volume e quindi l’apparente valore. Però mi piacerebbe togliermi il dubbio prima di cambiare tutte le mie password. Avete idee?
In ogni caso, vi consiglio di verificare se siete anche voi nell’archivio di credenziali rubate. Se poi avete dubbi su qualche password, c’è anche questa verifica per sapere se la password che usate è presente (anche se non associata a un vostro account) negli archivi di password di HIBP.
2019/01/17 16:30
Grazie a un lettore, G.V., ho avuto modo di sapere qual è la password associata al mio account di mail nell’archivio: è una sequenza di quindici cifre che non ho mai usato come password da nessuna parte. O è un hash bizzarro, oppure nel mio caso i dati contenuti nell’archivio non sono reali.
Fonte aggiuntiva: Ars Technica.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
