Mostra tutti

Have i been pwned? Come sapere se ti hanno rubato un account

Vuoi sapere se ti hanno rubato o clonato il tuo account social network o e-mail?

Con “Have I been pwned” puoi controllare se è stato compromesso.

Si chiama Have I been pwned? Il sito che ti permette di cercare su c’è stata violazione dei tuoi dati e vedere se è sono stato compromessi tuoi indirizzi e-mail.

“Dadada”. Ecco la non esattamente consigliabile password dell’account Twitter di Mark Zuckerberg, recentemente bucato da un gruppo di hacker. Stando a quanto si è appresso, gli autori della violazione sarebbero risaliti alla password grazie al diluvio di dati personali finiti in rete in seguito al data breach di LinkedIn.

Nel 2012, infatti, il social network era stato preso di mira: milioni di account erano stati messi a rischio e milioni di password svelate. La notizia è tornata di attualità qualche settimana fa, perché online è apparso un archivio di account compromessa in quella occasione: secondo quanto è emerso, sarebbero circa 178 milioni le password coinvolte, compresa quella del fondatore di Facebook.

I data breach di così grande portata possono avere gravi conseguenze per gli utenti del web, soprattutto se si utilizza la medesima password per diversi servizi. Una volta che un account viene compromesso, infatti, anche gli altri sono potenzialmente in pericolo.

Situazioni di questo tipo avvengono con frequenza e i recenti casi Sony, Tumblr, Ashley Madison e MySpace sono alcuni tra i più vasti mai accaduti: nell’ultimo caso sarebbero addirittura 360 milioni gli account a rischio. Un sito, però, fornisce ora un servizio che consente agli utenti di ricevere una notifica qualora un proprio account comparisse tra quelli violati in seguito a un data breach di questo tipo. E, di conseguenza, di correre ai ripari.

Il progetto si chiama Have I been pwned?

e, una volta iscritti, vi farà sapere se il vostro indirizzo email è associato a un account compromesso.
Il servizio è gratuito ed è gestito da Troy Hunt, un esperto di sicurezza informatica per Microsoft (il servizio non ha comunque alcuna connessione con l’azienda Redmond): “Ho creato il sito nel 2013 dopo il breach di Adobe”, spiega Troy Hunt, che abbiamo raggiunto per questo articolo: “Stavo vedendo diverse persone apparire su siti indipendente in quanto coinvolte nella violazione e volevo offrire loro un modo nuovo per far sapere di essere comprese”.

Have I been pwned? è cresciuto velocemente, spiega Hunt: “Ora ci sono circa 500mila iscritti che ricevono una notifica quando vengono coinvolti in un data breach. A volte, sulla scia di un caso particolarmente grosso, le visite al sito possono toccare il milione al giorno. È successo, ad esempio, dopo il caso Ashley Madison”.

Il meccanismo del sito è piuttosto semplice ed è basato sul confronto tra gli iscritti al servizio e gli archivi di account compromessi disponibili in rete. “Le notifiche sono inviate in automatico una volta che sono in grado di caricare un archivio sul sito”, spiega ancora Hunt: “Spesso i breach si localizzano facilmente su Internet, altre volte, invece, i dettagli mi vengono inviati dai sostenitori del progetto. Il tutto funziona solo una volta che sono entrato in possesso dei dati, sia che si tratti di materiale disponibile altrove, sia che mi sia inviato direttamente”.

Al momento, il sito contiene informazioni su 110 siti violati e, complessivamente, circa 977 milioni di account. Le probabilità che vi sia anche il vostro sono molto altre (chi scrive, ad esempio, era compreso sia nel breach di LinkedIn che in quello di Tumblr). Secondo Hunt, il fenomeno delle grandi fughe di dati degli utenti è destinato a crescere: “Al momento il più grande di tutti è stato proprio quello di MySpace”, spiega ancora Troy Hunt, che nei giorni della nostra intervista stava inserendo nel suo archivio proprio le informazioni su questo breach, ora disponibili.

Have-i-been-pwned-500x500

Una volta che si scopre di essere vittime di un breach, la cosa da fare resta una sola e ben poco da esperti: “Ovviamente, occorre cambiare tutte le password che sono state utilizzate più di una volta”, spiega Hunt. Il consiglio, come sempre, è quello di non riutilizzare la stessa password su più siti e, se possibile, utilizzarne di più complesse di quelle scelte da Mark Zuckerberg.

Quante è sicura la tua password?

Se vuoi testare la tua password online ti posso consigliare il sito HOW SECURE IS MY PASSWORD?

Il sito è in grado di dirti in tempo reale se la tua password è “sicura” e in quanto tempo può essere crackata.

Credits

libro vita da hacker