A causa di un database non protetto, decine di milioni di numeri di previdenza sociale e una montagna di credenziali sono a rischio: la scoperta fatta da UpGuard riaccende un allarme che sembrava assopito. Il contenuto rinvenuto è impressionante tanto per le dimensioni quanto per la composizione: si parla di circa 3 miliardi di indirizzi email abbinati a password e di quasi 2,7 miliardi di record con numeri di previdenza sociale. Tenendo conto dei probabili duplicati, il totale di identità uniche esposte scende, ma resta nell’ordine delle decine o delle centinaia di milioni. Per verificarne la portata, i ricercatori hanno contattato un campione di persone presenti nel file e hanno scoperto che circa un quarto dei codici previdenziali risultava corretto e ancora attivo, segno che il rischio non è solo teorico ma concreto.
Un mosaico di fughe: come è nato il database
Il ritrovamento non sembra il frutto di un singolo attacco riuscito, bensì il risultato di una paziente aggregazione di file sottratti nel corso di anni. Una parte consistente del materiale potrebbe derivare da una massiccia fuga recente che fece molto rumore proprio per l’ampiezza potenziale dell’impatto. Altre porzioni, invece, sono decisamente più datate. Per stimarne l’età, i tecnici hanno adottato un approccio curioso e efficace: hanno analizzato il contenuto delle password.
Le stringhe più frequenti raccontano riferimenti culturali di un’epoca precisa, con band e artisti che orientano la collocazione temporale di buona parte dei dati attorno a un periodo precedente. Il risultato è un mosaico costruito pezzo per pezzo, dove pezzi molto vecchi convivono con pezzi recenti. Il problema vero non è tanto sapere da dove provengono i singoli file quanto comprendere che, messi insieme, formano un archivio enorme e facilmente riutilizzabile.
Perché i dati vecchi fanno ancora paura e come agire
È facile pensare che informazioni rubate anni fa non rappresentino più una minaccia. Questo ragionamento però è pericolosamente ingenuo. Un numero di previdenza sociale non cambia, resta valido per tutta la vita, e quindi rimane utilizzabile da chi lo possiede. Ancora più preoccupante è che l’analisi di UpGuard indica come molti record nel database non risultino mai stati sfruttati. Significa che migliaia o milioni di persone non sanno di essere esposte e potrebbero scoprirlo solo quando un criminale deciderà di mettere in atto una truffa o un furto d’identità. Secondo gli esperti, ogni nuovo caso di grande portata potrebbe sembrare solo una variante di problemi già noti, ma la differenza sta nella quantità e nella combinazione dei dati: insieme diventano strumenti potenti per chi vuole ottenere accessi non autorizzati.
Per ridurre il rischio di subire le conseguenze più serie di un data breach, esistono accorgimenti pratici e alla portata di tutti. L’uso delle stesse password su più servizi, o di password semplici, facilita la vita ai malintenzionati perché un singolo vecchio furto può spalancare numerosi account. L’adozione di un password manager permette di generare e conservare credenziali robuste e uniche per ciascun sito o applicazione, diminuendo in modo significativo il rischio di compromissione.
