La più grande raccolta di password al mondo: RockYou2024
Recentemente, i ricercatori di Cybernews hanno scoperto quella che sembra essere la più vasta raccolta di password mai registrata, chiamata RockYou2024. Un individuo con il nickname ObamaCare ha caricato su un forum di hacking un file di testo contenente quasi 10 miliardi di password uniche in chiaro. Questo evento supera di gran lunga le precedenti raccolte simili, come RockYou2021, che includeva circa 8,4 miliardi di password.
L’importanza della sicurezza delle password
Il file rockyou2024.txt, condiviso sul forum, contiene precisamente 9.948.575.739 password uniche. I ricercatori di Cybernews hanno analizzato attentamente questa enorme raccolta, scoprendo che le password provengono da una combinazione di vecchi e nuovi data breach. La creazione di questa collezione è probabilmente frutto di accessi non autorizzati a oltre 4.000 database negli ultimi vent’anni. Sebbene non sia ancora chiaro se questa compilation sia stata venduta o distribuita gratuitamente, una raccolta di tale portata rappresenta una risorsa incredibilmente preziosa per i cybercriminali.
Attacchi “Brute Force” e “Credential Stuffing”
Le raccolte di password come RockYou2024 sono particolarmente pericolose perché permettono ai malintenzionati di effettuare attacchi di forza bruta per accedere agli account online. Una delle tecniche più utilizzate in questi casi è il “credential stuffing”. Ma cosa significa esattamente?
Credential Stuffing
Il credential stuffing è un tipo di attacco informatico in cui gli hacker utilizzano un grande numero di credenziali, spesso ottenute da precedenti data breach, per tentare di accedere a vari servizi online. Questo attacco sfrutta una cattiva abitudine molto diffusa tra gli utenti: riutilizzare le stesse credenziali su più piattaforme.
Ecco come funziona in pratica:
- Raccolta di credenziali: Gli hacker ottengono grandi liste di combinazioni di nome utente e password, spesso disponibili nel dark web a seguito di data breach.
- Automazione dell’attacco: Utilizzando strumenti automatici, gli hacker tentano di accedere a vari servizi online con queste credenziali. L’automazione permette di verificare migliaia o addirittura milioni di combinazioni in poco tempo.
- Accesso agli account: Se le credenziali risultano valide su uno o più servizi, gli hacker ottengono accesso a quegli account, che possono poi utilizzare per scopi fraudolenti come il furto di dati, transazioni finanziarie non autorizzate, o ulteriori attacchi.
Come proteggersi dai pericoli del credential stuffing
Per proteggersi da attacchi come il credential stuffing, è essenziale adottare alcune misure preventive:
- Non riutilizzare le stesse password: Utilizzare password uniche per ogni account riduce il rischio che un singolo data breach possa compromettere molteplici account.
- Verificare le credenziali: Utilizzare servizi come “Have I Been Pwned” per controllare se le proprie credenziali sono state esposte in qualche data breach. In caso affermativo, cambiare immediatamente le password compromesse.
- Creare password robuste: Utilizzare password complesse, lunghe e con una combinazione di lettere, numeri e simboli. Considerare l’uso di un password manager per gestire e generare password sicure.
- Abilitare l’autenticazione a due fattori (2FA): L’uso della 2FA aggiunge un ulteriore livello di sicurezza, richiedendo non solo la password ma anche un secondo fattore di autenticazione, come un codice inviato via SMS o una notifica su un’app di autenticazione.
Adottando queste misure, è possibile ridurre significativamente il rischio di cadere vittima di attacchi di credential stuffing e proteggere meglio i propri account online.