Meno male che Gmail pare essere l'email più sicura, questa news direbbe che non è proprio cosi
Rubate cinque milioni di password Gmail, Hacker russi sotto accusaUn database di profili di molte nazionalità diverse e relative chiavi d’accesso è stato pubblicato oggi su un forum. Ecco come verificare se si è tra le vittimeA poco più di una settimana dalla pubblicazione online di foto private delle star di Hollywood, è di nuovo emergenza sicurezza.
Una lunga lista di 4,93 milioni di account Google con relativa password è stata pubblicata nella giornata di oggi sul forum russo Bitcoin Security, una comunità online russa che si occupa di sicurezza informatica e criptovalute.
Le credenziali presenti nel database permettono di accedere non soltanto a Gmail ma anche a tutti gli altri servizi online di Google come YouTube o il social network Google Plus. Il gigante californiano ormai da qualche anno ha infatti reso obbligatoria l’unificazione degli account per garantire un accesso unico (e sempre tracciabile) al suo ecosistema.
Google Russia ha prontamente fatto sapere che un’indagine interna è già in corso. Come nel caso delle foto rubate a Jennifer Lawrence e colleghe sarebbe però da escludere una vera e propria violazione dei sistemi di sicurezza dell’azienda. Più probabile che la lunga lista sia il frutto di anni di “phishing” e piccoli furti di credenziali ai danni dei singoli o di piccoli gruppi di utenti.
Un’altra ipotesi è che molte delle email presenti nella lista provengano da altre fughe di dati, come quello ai danni dell’editore Gawker avvenuto nel 2010, e siano state associate a password casuali, forse nel tentativo di vendere la lista ad altri cracker.
60% di account vulnerabili Secondo il membro del forum russo che ha pubblicato il database, il 60% dei 4,93 milioni di account presenti nella lista sono attivi e vulnerabili. Significa che quegli account non sono mai stati disattivati e che la password associata è ancora quella valida. Nel restante 40% dei casi, come può testimoniare chi scrive grazie ad alcuni test su account personali e di collaboratori, anche quando l’account è presente nella lista e ancora attivo la password associata potrebbe risultare vecchia e non più utilizzata. Se la password non è stata cambiata da molto tempo (pratica sconsigliata e pericolosa) il rischio si fa molto più concreto.
Analoghi leak, così si chiama in gergo questo tipo di incidenti di sicurezza, sono avvenuti nei giorni scorsi ai danni di Yandex e Mail.ru, due servizi di email molto utilizzati in Russia.
Verificare il proprio account Per verificare se un account Gmail fa parte della lista pubblicata sul forum russo sono stati attivati alcuni servizi online ad hoc.
Sulla pagina
isleaked.com/en.php, ad esempio, è possibile inserire il proprio indirizzo per verificarne la presenza nella lista.
Il sistema non richiede l’inserimento di alcuna password, naturalmente, ed è sicuro: si limita a fornire un avviso circa la presenza dell’email nella lista, indicando i primi due caratteri della password associata in caso di esito positivo della ricerca.
Se un account è presente nell’elenco è buona norma cambiare immediatamente la password, possibilmente scegliendone una più complessa, con caratteri speciali, numeri, lettere maiuscole e minuscole.
Nel caso all’email siano associati altri account di servizi esterni a Google o se l’archivio dell’account vulnerabile conserva messaggi con altre password, è bene procedere a catena, modificando anche tutte le proprie credenziali di accesso, partendo da quelle più sensibili (home banking, in primis) possibilmente senza utilizzare più volte la stessa combinazione per servizi differenti.
Verifica in due passaggiUn ulteriore livello di sicurezza che si può attivare da subito per mettere al sicuro il proprio account Google è la cosiddetta verifica in due passaggi.
Se la verifica a due passaggi è attiva, Google all’accesso richiede nome utente, password e un codice che viene inviato sul telefonino. Per evitare la complicazione di un’autenticazione lunga e laboriosa da effettuare ad ogni collegamento è possibile registrare come sicuri i dispositivi da cui si accede più spesso alla propria email.
Il sistema chiederà il pin telefonico ogni volta che si tenterà di accedere all’ecosistema Google da un computer, da uno smartphone o da un tablet mai utilizzati prima.
Fonte
lastampa.it