Una delle più grandi violazioni informatiche degli ultimi anni è stata appena confermata dal servizio Have I Been Pwned, piattaforma gestita dall’esperto di sicurezza Troy Hunt. Il nuovo archivio indicizzato, chiamato “Synthient Credential Stuffing Threat Data”, contiene più di due miliardi di indirizzi e-mail compromessi e oltre un miliardo di password, un volume mai visto prima sul servizio. Per gestire un carico così imponente, HIBP ha dovuto lavorare per quasi due settimane ottimizzando i server e utilizzando al massimo le risorse cloud, senza però interrompere le funzioni principali del sito che ogni giorno assiste milioni di utenti.
La particolarità di questo database è che include password di ogni tipo, da quelle vecchie e ormai inutilizzate a quelle ancora attive e addirittura credenziali complesse che, almeno in teoria, avrebbero dovuto garantire un livello di sicurezza superiore. La presenza di tali dati dimostra quanto sia diffuso il fenomeno del furto di informazioni e come i malware e gli attacchi automatizzati riescano a colpire anche utenti attenti e consapevoli.
Perché il rischio di perdere dati è così alto e come gli utenti possono difendersi
La cosa più preoccupante riguarda la tendenza diffusa a riutilizzare la stessa password su più servizi. È proprio questa abitudine che rende le violazioni così pericolose, perché chi ottiene illegalmente un insieme di credenziali può tentare di accedere non solo al servizio che ha subito la fuga di dati, ma anche a molti altri account della stessa persona. Un indirizzo e-mail esposto insieme a una password usata altrove può diventare una porta d’ingresso per rubare profili social, accedere a servizi di pagamento o sottrarre informazioni personali. Con l’indicizzazione di questo nuovo archivio, ogni utente può ora controllare se il proprio indirizzo è coinvolto, utilizzando l’apposito strumento messo a disposizione da HIBP. La verifica è immediata e permette di sapere se è necessario intervenire cambiando le credenziali o monitorando eventuali attività sospette.
Per migliorare la sicurezza, la prima regola resta quella di scegliere password diverse per ogni account e modificarle regolarmente. L’uso di un password manager permette di gestirle senza doverle ricordare tutte e aiuta a creare combinazioni più robuste. Un ulteriore passo avanti arriva dall’adozione di sistemi come le passkey e l’autenticazione a più fattori, che aggiungono un livello di protezione capace di bloccare la maggior parte dei tentativi di accesso non autorizzati. Questa maxi violazione ricorda quanto sia fondamentale mantenere alta l’attenzione, perché anche una singola password compromessa può avere conseguenze importanti su tutta la nostra vita digitale.
