Con il passare delle ore le ipotesi sono diventate certezze: Collection #1 non è l’unico archivio di email rubate in circolazione e finite in parte nel database di Have I Been Pwned, il sito che le raccoglie dal 2013.
I ricercatori si sono messi al lavoro e hanno trovato altrettanti archivi numerati e con lo stesso nome: Collection #2, Collection #3 Collection #4, Collection #5. Che fossero più di uno se ne erano già accorti anche i ricercatori di D3LabIT. E oggi ce lo hanno confermato altri due ricercatori che li stanno analizzando, Dario Buonocore e Marco Ramilli.
A una prima parziale analisi del nuovo materiale, dal peso di 1 terabyte, le mailbox più colpite sono quelle di Yahoo, Gmail, Hotmail, Aol e mail.ru, mentre le password più usate sono sempre le stesse: 123456, password, qwerty, abc123, iloveyou1. Nel frattempo il sito che all’inizio ospitava #Collection #1 è stato chiuso e un altro, fasullo, è stato usato da un presunto hacker ucraino per truffare chi faceva richiesta di quel materiale dietro compenso.
Adesso però tutte le collection sono condivisibili e scaricabili sotto forma di file ‘.torrent’ da un forum di hacker, a pagamento.
Intanto i 773 milioni di email, indicati come Collection #1 da Troy Hunt, direttore regionale Microsoft, sono ora cercabili attraverso il motore di ricerca interno di Have I Been Pwned. Molti di questi, con le relative password, sono il frutto di databreach precedenti ma, almeno 140 milioni sono nuovi. Morale della favola: i 773 milioni di email e i 22 milioni di password associate sono dunque solo la punta dell’iceberg di quello che gli esperti di cybersecurity ora chiamano “BigDb”.
Da quello che è dato capire sinora – Troy Hunt è irrintracciabile perché in viaggio – si tratta solo del contenuto delle cartelle di #Collection #1 indicate come “nuove” dentro l’archivio da 1 TeraByte. Le cartelle dell’archivio catalogate da Hunt nel suo sito sono riferibili a collezioni degli ultimi tre anni, dal 2016 al 2018, o almeno questo è quello che appare visto che accanto ad ogni cartella di file ci sono una data, un nome, il numero di record contenuti e l’indicazione se le password sono in chiaro oppure crittografate.
“Dalle informazioni in nostro possesso – ci ha detto Marco Ramilli di Yoroi Security- si può dedurre che molti account presenti nella folder "NEW combo semi private" e nella folder "MAIL ACCESS combos" siano "inediti". Verificandoli attraverso le API (Application Programming Interface, ndr) di "I Have Been Pwned" si può notare che sono presenti sotto la "Collection#1", quindi non si riferiscono ad altri leak precedenti.”
Le reazioni
Nelle discussioni scatenate sui social qualcuno cerca di minimizzare l’importanza dell’accaduto parlando di “archivi vecchi e già noti”, dicendo che “le persone coinvolte hanno da tempo cambiato la pwd”, oppure che “la mia posta non è così segreta”. Gli archivi trafugati tuttavia, sono sempre, o quasi sempre, il frutto di addizioni incrementali di databreach vecchi e nuovi per diversi motivi: mescolando gli archivi rubati gli autori cercano di depistare gli investigatori, accreditarsi presso circuiti criminali, spargere incertezza e dubbio e rivendere più e più volte lo stesso materiale.
Tuttavia affinché gli individui coinvolti non paghino pegno dell’ignoranza dell’accaduto è importante darne notizia e fare una cosa: cambiare password, usarne una complessa e robusta, diversa per ogni servizio cui si accede; attivare la doppia autenticazione quando possibile; dotarsi di un password manager e richiedere ai servizi web che usiamo la generazione automatica delle password.
E con una raccomandazione importante, come ci ricorda Denis Frati di D3LabIT: “Bisognerebbe rispettare la logica secondo cui l’email di lavoro non si deve usare per affari privati, sopratutto quando si svolgono funzioni delicate.”
È di queste ore la notizia di una nuova campagna di sextortion che usando la stessa email del ricevente cerca di convincerlo di averne bucato le difese con lo scopo di chiedergli un riscatto monetario per non diffondere email compromettenti che lo riguarderebbero. Molte potrebbero venire proprio da Collection #1