In Russia stanno circolando 272 milioni di account di posta elettronica rubati, dati personali di utenti Google, Microsoft, Yahoo e altri. Si tratta di un mercato ben noto, purtroppo, ma non capita spesso di individuare una mole di dati tanto imponente.
Lo racconta a Reuters Alex Holden fondatore e direttore per la sicurezza della società Hold Security, uno specialista che, tra l'altro, non è nuovo a rivelazioni del genere. In questo caso i ricercatori di Hold Security dicono di aver trovato "un giovane hacker che si vantava di aver raccolto e di essere pronto a rivendere 1,17 miliardi di credenziali".
Holden ha eliminato i duplicati arrivando a un numero più piccolo, ma comunque enorme. Buona parte degli indirizzi (57 milioni) sono del servizio russo mail.ru, ma ce ne sono anche di Google, Microsoft e Yahoo, oltre che di provider russi e cinesi.
Il pericolo, spiega Holden, è che chiunque si impossessi di quei dati ne può abusare. Entrare in un account di posta elettronica significa non solo leggere i messaggi, ma anche accedere a qualsiasi altro account esistente, anche se la password è diversa - se posso entrare nella tua mail, posso anche andare su Facebook e fare il reset della password, che riceverò comodamente via email. Inoltre con poche semplici ricerche posso scoprire tutti gli account e le iscrizioni esistenti.
E comunque ci sono buone probabilità che la password sia sempre la stessa; un criminale potrebbe non aver bisogno di accedere alla posta - con il rischio di destare sospetti e far scattare allarmi automatici - ma potrebbe semplicemente provare a inserire i dati su tutti i siti che vuole controllare. Un'operazione automatizzata che porta via solo una manciata di minuti per ogni account che si vuole testare.
Ci sono poi dettagli curiosi in questa vicenda. Il primo è che questo misterioso hacker, secondo Holden, era pronto a vendere tutto per meno di un dollaro. Poi ha dato il pacchetto gratuitamente ai ricercatori di Hold Security, che in cambio si sono impegnati a postare commenti positivi su di lui, su forum specializzati.
Non che pacchetti come questo siano particolarmente costosi, in genere, ma comunque il prezzo richiesto era insolitamente basso. Apparentemente si tratta di un esordiente più interessato a farsi un nome nell'ambiente del crimine informatico, per arricchirsi magari in un secondo momento.
Holden ha informato mail.ru, che verificherà quali sono gli account ancora attivi e a rischio. L'articolo di Reuters che racconta la vicenda non dice se siano state contattate anche le aziende coinvolte, ma possiamo sperare che sia così.
Infine, vale la pena ricordare e sottolineare che è sempre preferibile attivare l'autenticazione in due passaggi (2FA), se offerta dal proprio provider. Con questo strumento, chi ci dovesse rubare la password non potrebbe comunque entrare nell'account di posta elettronica. Altrettanto importante, usare sempre password diverse, e se proprio non è possibile che almeno quella della posta elettronica (e altri servizi sensibili) sia unica, mai riutilizzata altrove.