Un ricercatore di sicurezza informatica fa chiarezza sulla vasta raccolta di password e email pubblicata online, la fantomatica Collection #1, e su alcune affermazioni diffuse da alcune testate. "Data breach più grande della storia? Operazione recente?", macché dice Brian Krebs sul suo blog. Eppure è grave.

L'esperto riporta le indagini e le considerazioni di Alex Holden, il CTO di Hold Security. Quest'ultimo è riuscito a risalire ad un "trafficante di dati" che aveva messo in vendita, con tanto di listino prezzi, collection #1, assieme ad una serie di altre cartelle presumibilmente dal contenuto simile e denominate con numerazione crescente (collection #2, #3...). Prezzo per il tutto: 45$. E l'account Telegram ufficiale del venditore è scritto in chiaro — prima regola del business, essere sempre reperibili, a quanto pare.

Collection #1 pesa 87.18GB, una grandezza che corrisponderebbe con quella di cui si è parlato ieri, ma tutto il pacchetto (dove troviamo anche cartelle apparentemente associate ad altri leak, come quella chiamata ANTIPUBLIC #1) pesa oltre 1TB. Di questo ve ne avevamo in parte già parlato qua.

Un ricercatore chiamato KrebsOnSecurity è riuscito a contattare il "trafficante" che, con nonchalance, si è dimostrato disponibile a rivelare alcuni dettagli sulla collezione di password ed email rubate: "Collection #1? È di almeno due o tre anni fa", ha detto l'uomo. Insomma, come già avevano intuito in molti, si tratta di dati risalenti a violazioni non proprio freschissime. Più recenti, invece, le informazioni contenute nelle altre cartelle, che non sarebbero nemmeno solo quelle che trovate nell'immagine in calce —l'hacker parla di 4TB in totale. "Roba che ha meno di un anno", spiega. E quindi sì, come scrivevamo nella chiusura dell'ultimo aggiornamento sulla questione, sembrerebbe davvero che Collection #1 sia solo al punta dell'iceberg, e il peggio debba ancora venire. Non a caso, è bene sottolinearlo, la cartella Collection 1#, a differenza delle altre, era disponibile online su Mega, alla portata dell'ultimo dei cretini, giacché girava già su diversi forum da tempo.

Tuttavia, almeno secondo a Brian Krebs, non è vero che si tratterebbe del data breach più vasto e grave della storia della sicurezza informatica. Tanto per iniziare perché sono informazioni vecchie e datate, la collezione avrebbe acquisito popolarità dopo che diversi hacker russi l'hanno diffusa in molti forum del dark web: "siccome sono informazioni vecchie, non si tratta di un danno diretto alla comunità generale degli utenti, certo la vastità di informazioni è impressionante, ma come riportano molti hacker non sono dati particolarmente utili", ha scritto, infatti, Holden.

Questo genere di informazioni, più che per il furto di account o altre azioni dirette, vengono usate semmai per operazioni secondarie, come gli attacchi phishing (ingegneria sociale, non hacking), ricatti o truffe di vario tipo.

Prova ne è il valore attribuito dai trafficanti di dati alle password contenute nel file: 0.000002 centesimi cadauna. Abbastanza eloquente.

Chi rischia veramente per colpa di Collection #1 si chiede quindi, dandosi pure la risposta, Brian Krebs alla fine del suo lungo blogpost? Chi ha la pessima abitudine di usare una sola password per tutti i gli account e chi non la cambia frequentemente.

La cosa più preziosa che abbiamo, spiega il blogger ed esperto, è il nostro account mail principale, perché controllando quello si possono resettare tutte le password degli altri a catena, e quindi prendere possesso della vita digitale (mica poco) di una persona. Il consiglio dell'esperto non è diverso da quello che vi abbiamo già dato più volte nelle ore precedenti: cambiate password frequentemente, possibilmente non usate mai la stessa password su più servizi, e, dove possibile, attivate sempre l'autenticazione a due fattori. Quest'ultima, ricorda Brian Krebs, rende completamente inutile la vostra password ad un hacker: non gli basta per entrare nei vostri account, deve pure prendersi il device che utilizzate per confermare l'accesso, che è una cosa meno scontata e più difficile da fare. Ovviamente difficile e impossibile non sono la stessa cosa.