Un bottino senza precedenti: oltre un miliardo di login e password rubate in mano a un gruppo di criminali informatici russi. Lo ha annunciato una società di sicurezza del Wisconsin, la Hold Security: si tratterebbe di una collezione di nomi utente e di password relative a circa 420.000 siti grandi e piccoli, compresi quelli di molte aziende di punta.

Secondo le informazioni fornite da Hold Security, i criminali userebbero quest'immensa raccolta principalmente per fare spamming diretto ma anche per vendere credenziali d'accesso ad altre bande: si tratterebbe di una dozzina di persone che risiedono in una cittadina nella zona fra Kazakistan e Mongolia e si dividono i compiti: c'è chi scrive il software per rubare dati e chi effettua materialmente il furto usando il software che sfrutta le falle dei siti.

I furti sarebbero avvenuti grazie a vulnerabilità dei siti, non degli utenti, ed è anche per questo che la notizia è un buon promemoria del fatto che non bisogna utilizzare mai la stessa password per più di un sito importante, ma va comunque presa con circospezione, perché la società che l'ha diffusa ora sta chiedendo agli utenti ben 120 dollari a testa per sapere se il loro sito o il loro account è fra quelli violati.

La faccenda, insomma, puzza un po' di trovata autopromozionale, ma il messaggio di fondo resta valido: in generale, non fidatevi dei siti che propongono di “verificare” se le vostre password sono state rubate, perché potrebbe essere una tecnica astuta per convincervi a digitarle e quindi farvele rubare proprio da chi diceva di volervi proteggere.