I ricercatori di Cybernews hanno scoperto la più grande compilation di password del mondo, denominata RockYou2024. Un utente con nickname ObamaCare ha pubblicato su un forum di hacking un file di testo contenente quasi 10 miliardi di password uniche in chiaro. Una precedente raccolta del 2021 aveva dimensioni inferiori.
Il file rockyou2024.txt condiviso sul forum contiene 9.948.575.739 password uniche. Il team di Cybernews hanno esaminato la collezione, scoprendo che le password provengono da un mix di vecchi e nuovi data breach. Una simile raccolta, nota come RockYou2021, era stata individuata tre anni fa. In quel caso, il numero di password era circa 8,4 miliardi.
È probabile che la compilation del 2024 sia stata creata dopo aver effettuato l’accesso ad oltre 4.000 database durante gli ultimi 20 anni. Non è noto se è stata messa in vendita o distribuita in forma gratuita. Una simile collezione di password rappresenta una miniera d’oro per i cybercriminali.
Combinando le password con altre informazioni (ad esempio gli indirizzi email) è possibile effettuare un attacco di forza bruta per tentare di accedere agli account dei servizi online.
Un’altra tecnica molto utilizzata è nota come credential stuffing. I cybercriminali possono prendere il controllo degli account, sfruttando una cattiva e pericolosa abitudine di molti utenti, ovvero l’uso delle stesse credenziali per diversi account.
Per evitare rischi è necessario adottare alcune misure preventive. Innanzitutto deve essere verificata la presenza delle credenziali nei data breach, usando strumenti sicuri, come ad esempio il sito Have I Been Pwned.
Per prudenza, è invece sempre meglio evitare di utilizzare siti web e tool che per effetturae la verifica richiedono l'inserimento delle proprie password.
Se si scopre che la sicurezza delle proprie credenziali può essere compromessa, si devono cambiare le password in tutti gli account in cui sono utilizzate, scegliendo combinazioni robuste e uniche, e se possibile è anche fortemente consigliata l’attivazione dell’autenticazione a due fattori.
Articolo ripreso da Federprivacy