Un ricercatore esperto in sicurezza informatica ha scoperto un database online contenente oltre 184 milioni di credenziali di account di Google, Microsoft, Facebook, Instagram e altre importanti piattaforme. Il suo rapporto rivela che nomi utente, password, indirizzi e-mail e URL di numerose app e siti web di social media erano archiviati in un file, insieme alle credenziali degli utenti per conti bancari e finanziari, piattaforme sanitarie e portali governativi.
Il file trovato non era crittografato ed è stato stabilito che i dati sensibili erano stati acquisiti da un sito web che rubava informazioni. Questo tipo di sito web è popolare tra i criminali informatici perché è progettato per rubare dati sensibili da siti e server violati, facilitando la pianificazione di un attacco o la divulgazione di informazioni sul dark web.
Il file è stato successivamente rimosso dall’accesso pubblico dal provider di hosting, che non è certo se il database sia stato creato legittimamente e poi esposto accidentalmente, oppure se sia stato utilizzato intenzionalmente per scopi dannosi.
Sebbene la colpa sia delle persone dietro la violazione, anche gli utenti condividono una parte di responsabilità. L’autore del rapporto suggerisce agli utenti di non conservare documenti contenenti informazioni sensibili sui propri account di posta elettronica e di trattarli come se fossero un archivio cloud gratuito, poiché ciò potrebbe creare rischi per la privacy qualora i criminali ne ottenessero l’accesso.
I tipi di minacce a cui vanno incontro le persone i cui dati sono esposti includono attacchi di credential stuffing, furto di account, ransomware e spionaggio aziendale, attacchi contro agenzie statali e governative e ingegneria sociale.
Suggerimenti utili che possono aiutare gli utenti a proteggere i propri dati riservati dall’esposizione a una violazione includono: cambiare le password ogni anno, utilizzare password complesse e univoche, valutare l’utilizzo di un gestore di password, utilizzare l’autenticazione a più fattori, utilizzare un buon software di sicurezza e monitorare l’utilizzo dei propri account. Possono anche verificare se le proprie credenziali sono state divulgate su siti come HaveIBeenPwned, che analizzerà se l’email inserita è stata visualizzata in caso di violazioni note.
