Hacker pubblicano in rete 1,4 miliardi di password ed account

I ricercatori della società di sicurezza 4iQ hanno scoperto un nuovo database, pubblicato per altro anche su Torrent, che contiene 1,4 miliardi di nomi utenti e password in chiaro.

Questa vera e propria banca dati è stata scoperta lo scorso 5 Dicembre in un forum underground, e secondo molti si tratterebbe di una vera e propria collezione dei vari pacchetti che si trovano sul deep web, come confermato anche dal fondatore di 4iQ Julio Casal in un post pubblicato sul blog.

L'archivio è grande 41 gigabyte e, come mostrato nello screenshot presente in calce, contiene varie cartelle in cui vengono elencati 1,4 miliardi di combinazioni di username, email e password, e l'ultimo aggiornamento risale a Novembre. Tuttavia, è doveroso sottolineare che di recente non è stata registrata nessuna nuova violazione, ma l'ultimo aggiornamento è da imputare al fatto che gli hacker avevano trovato dati di altre 252 violazioni avvenute in precedenza.

Il database continue i dati di account Bitcoin, Pastebin, LinkedIn, MySpace, Netflix, YouPorn, Last.FM, Zoosk, Badoo, RedBox, e di giochi come Minecraft e Runescap.

Nel documento pubblicato i ricercatori sostengono che "nessuna delle password è criptata, il che è inquietante, dal momento che alcune di queste le abbiamo testate e si sono rivelate funzionanti. La violazione è quasi due volte superiore a quella di Exploit.in, che aveva portato alla pubblicazione di 797 milioni di dati. Questa nuova violazione include 385 milioni di coppie di credenziali, 318 milioni di nickname e 147 milioni di password".

Il database è ben organizzato ed indicizzato in ordine alfabetico. Le password più comuni sono risultate essere "123456", "123456789", "qwerty", "password" e "111111".

Almeno al momento ancora non è chiara la matrice di questo attacco, ma è interessane notare che include anche portafogli di Bitcoin e Dogecoin.