Un database scoperto di recente, contenente 24 miliardi di record rubati, ci ricorda che le informazioni personali provenienti da violazioni dei dati, campagne di phishing e infezioni da malware di tipo "infostealer" continuano a circolare online.
La raccolta è stata resa pubblica su Internet prima di essere rimossa. Sebbene i ricercatori non possano confermare con esattezza a chi appartenessero le informazioni contenute, questa scoperta rappresenta una buona occasione per verificare se i propri indirizzi e-mail, password o altri dati personali siano già stati resi pubblici.
Che cosa è successo?
I ricercatori di Cybernews hanno individuato un database accessibile pubblicamente contenente oltre 8,3 TB di dati.
I dati, costituiti da 24 miliardi di record di credenziali, sarebbero stati ricavati da 36 fonti, tra cui numerosi canali Telegram, raccolte relative a violazioni precedenti, raccolte di log di infostealer e alcuni set di dati apparentemente esportati direttamente da server attivi.
Poiché i dati provengono da fonti diverse, vi sono alcune differenze nel contenuto dei record e nella loro organizzazione.
Alcuni record erano registri strutturati di infostealer contenenti nomi utente, indirizzi e-mail, password in chiaro e l'URL di accesso associato. Gli infostealer sono un tipo di malware progettato per sottrarre informazioni sensibili dai dispositivi infetti, come ad esempio il computer di casa.
Il log di un infostealer proveniente da un singolo dispositivo infetto può includere le password memorizzate su tutti i browser, i cookie di sessione attivi e i token (compresi quelli che aggirano l’autenticazione a più fattori), i dati di compilazione automatica, le impronte digitali del dispositivo e, talvolta, i portafogli crittografici o gli account di messaggistica. È proprio questo pacchetto completo che finisce nei log come quelli esaminati dai ricercatori di Cybernews.
Circa 1,7 miliardi di questi dati provenivano da canali Telegram legati all'hacking, principalmente in inglese e russo, tra cui almeno uno dedicato ai dati rubati delle carte di credito.
Il database compromesso era ospitato su un cluster Elasticsearch. Elasticsearch è uno strumento utilizzato per archiviare e cercare rapidamente grandi quantità di dati. Se un server Elasticsearch non dispone di password,autenticazione o restrizioni di rete, chiunque lo trovi online può accedervi. Senza protezioni quali password o un firewall, chiunque può leggere, copiare, modificare o persino cancellare i dati in esso contenuti.
Altri documenti presenti nel set di dati contenevano informazioni su vulnerabilità note, articoli relativi a violazioni dei dati e post sui social media riguardanti attacchi informatici. Ciò suggerisce che il proprietario segua attivamente le notizie sulla sicurezza e le vulnerabilità e arricchisca la propria raccolta di credenziali con nuove informazioni sulle violazioni, sia per un servizio commerciale di “monitoraggio” sia per scopi offensivi.
Qualche anno fa abbiamo scritto di quella che è stata definita la “madre di tutte le violazioni”, la cui fonte è stata successivamente identificata nel motore di ricerca dedicato alle violazioni dei dati Leak-Lookup.
Questa nuova scoperta, che riguarda 24 miliardi di record, è paragonabile a quella precedente "mega-fuga" di dati, ma sembra concentrarsi maggiormente sui log recenti relativi a infostealer, piuttosto che su dati più datati e statici relativi a violazioni.
Poiché i dati sono stati rimossi dalla rete poco dopo la scoperta, i ricercatori non sono stati in grado di ricostruire integralmente tutto ciò che avevano trovato né di determinare quanti record duplicati contenesse. Questo è rassicurante perché riduce le possibilità che i criminali informatici trovino il database, ma le password riutilizzate potrebbero comunque mettere a rischio gli account. E non sappiamo ancora quale fosse lo scopo della raccolta dei dati.
Cosa fare adesso
È bene essere consapevoli di quante informazioni su di te circolino là fuori e di chi le raccolga, ma è ancora più importante sapere esattamente quali informazioni possiedono, poiché sono proprio quelle che potrebbero usare contro di te.
1. Verifica se i tuoi dati sono stati resi pubblici online utilizzando il nostro portale “Digital Footprint”.
2. Se scopri che alcune password sono state compromesse, modificale immediatamente e assicurati di non riutilizzare la stessa password su più account. Dai la priorità all’aggiornamento degli account più importanti, come quelli di posta elettronica, bancari, di shopping e dei social media.
3. Attivare l'autenticazione a più fattori (MFA) ogni volta che è possibile, poiché può contribuire a proteggere gli account anche nel caso in cui una password sia stata compromessa.
Come proteggere i propri dati
I programmi di furto di informazioni si diffondono spesso tramite annunci pubblicitari dannosi, falsi aggiornamenti del browser e download con un solo clic. Evita di cliccare sugli annunci sponsorizzati e visita invece direttamente i siti web ufficiali. Download solo da fonti affidabili, come i siti ufficiali dei produttori o gli app store.
Un’altra tecnica sempre più diffusa èClickFix, un attacco di ingegneria sociale che induce gli utenti a infettare i propri dispositivi. Non eseguire mai comandi o script copiati da siti web, e-mail o messaggi, a meno che non ti fidi della fonte e non ne comprenda il funzionamento.
Il software pirata, i cheat per i videogiochi, gli strumenti crackati e le estensioni per browser di dubbia provenienza rimangono fonti comuni di infezioni da infostealer. Utilizzate solo software ed estensioni affidabili e diffidate di tutto ciò che richiede autorizzazioni eccessive.
Infine, le e-mail di phishing rappresentano ancora una grave minaccia. Prestate attenzione agli allegati inattesi, ai link e alle richieste urgenti. Se non siete sicuri della legittimità di un messaggio, verificatelo tramite il sito web ufficiale dell’azienda anziché tramite il link contenuto nel messaggio.
Puoi anche utilizzare Malwarebytes Guard per verificare i singoli messaggi. Basta caricare uno screenshot e ti faremo sapere se si tratta di una truffa.
