Controlla se gli account con email e password sono stati rubati

Verifica se il tuo indirizzo email è presente nelle liste di hacker che girano su internet con account rubati con login e password

Quasi ogni settimana o, ad essere ottimisti, ogni mese, si sentono notizie riguardo dati trafugati da hacker che sono riusciti a rubare credenziali di accesso ad un sito importante.
L'ultimo di questi giorni è il più grandew furto di dati mai diffuso online, con addirittura 773 milioni di email e 21 milioni di password hackerate (questa differenza dipende dal fatto che in molti usano la stessa password) e pubblicate, rese disponibili per tutti coloro che vogliono provarle nei vari account web o bancari.

Questo significa che se anche il nostro indirizzo email che usiamo per accedere a Facebook, Google o la banca online è incluso in questo enorme elenco e non abbiamo mai cambiato la password negli ultimi tempi, chiunque potrà provarla e, facilmente, rubare il nostro account.
Come da prassi, si consiglia sempre di cambiare immediatamente la password dell'account che potrebbe essere stata compromessa. Ma il problema non si chiude così facilmente.

LEGGI ANCHE: Avviso cambio password se compromessa o già usata in Chrome

Il punto con questi furti di password è questo: se io ho un account con Linkedin che è finito in queste liste che girano nel deep web o che sono messe in vendita dagli hacker, se per questo account ho utilizzato un indirizzo Email e una password che sto utilizzando anche per altri account come quelli di Google, Facebook, Microsoft o altri, allora anche questi sono davvero a forte rischio e bisogna cambiare anche la loro password.

Come ci spiega chi ha scovato questo elenco di Email e password trafugate, ossia Troy hunt gestore del sito Have I Been Pwned, le persone malintenzionate di tutto il mondo, hacker o anche semplici curiosi, possono scaricare queste liste che contengono i nostri indirizzi e-mail e password e cercano di vedere dove funzionano.
Il successo di questo approccio si basa sul fatto che le persone riutilizzano le stesse credenziali su più servizi.

Per pura coincidenza, proprio la scorsa settimana ho scritto sugli attacchi di riempimento delle credenziali e su come hanno portato molte persone a credere che Spotify avesse subito una violazione dei dati. In quel post ho incorporato un breve video che mostra quanto facilmente questi attacchi siano automatizzati e voglio includerlo di nuovo qui:
Per evitare brutte sorprese, per non rimanere vittime di furti di password dovute a siti compromessi o database resi pubblici su internet, ci sono due strategie da utilizzare:
- Scegliere password sicure impossibili da scoprire, usando meccanismi mentali che ci consentano di ricordarle (ad esempio unendo le iniziali di una frase) ed usando password diverse per ogni sito web o account.
- Usare un gestore di password automatico, ossia un programma che genera password casuali per ogni account web in modo che l'unica password da ricordare sia quella principale.

Per controllare se il proprio indirizzo Email è finito in qualche lista di account con login e password rubati da hacker, ci sono tre servizi online gratuiti che hanno catalogato i vari furti di dati di oggi e del passato, consentendo a tutti di fare la verifica sia dell'email che della password.
Haveibeenpwned.com, il sito che ha scoperto l'elenco di email rubate più grosso di sempre, è uno di questi ed è davvero facile da usare.
Nella pagina principale è possibile subito controllare i propri indirizzi email e vedere se questi sono presenti nelle liste ormai pubblicate ed utilizzabili da chiunque per spam o tentativi di hacking.
Per esempio, nella mia prova, è risultato che l'indirizzo eMail che uso di più per registrarmi online ai siti web è presente in diverse di queste liste, compresa quella chiamata Collection #1, quella che abbina email e password scoperta proprio in questi giorni di Gennaio 2019.
Inoltre è stato anche pubblicato in altre liste, tra cui quella estratta da Linkedin nel 2016, da Tumblr nel 2016, da MySpace nel 2008 (poi pubblicata nel 2016) e diverse altre. Questo significa che ogni account in cui utilizzo quell'indirizzo Email con una password non modificata rispetto qualche anno fa (o qualche mese fa) è a rischio di essere rubato. Sono quindi costretto, per tutti i siti (diciamo quelli importanti) in cui sono registrato con quell'indirizzo email e a cui non ho cambiato mai password dopo la data indicata da Haveibeenpwned, a modificare la password per poter stare tranquillo.

Parlando di Password, però, non è che posso utilizzarne una qualsiasi.
Oltre a sceglierne una difficile da scoprire, è anche necessario utilizzarne una che non sia presente negli elenchi rubati e pubblicati online.
In Haveibeenpwned.com, premere in alto dove è scritto Password per controllare la propria password e vedere se questa è stata scoperta diventando quindi inutile.

Un altro sito dove fare lo stesso tipo di controllo degli account violati, inserendo l'indirizzo email usato o anche l'username di login, è breachalarm.com.
Come Haveibeenpwned, ha nel suo database le liste di account rubati nei vari attacchi informatici degli anni scorsi e può dirci se ha trovato il nostro indirizzo.
Inseriamo l'indirizzo email che utilizziamo di solito per accedere al maggior numero possibile di siti (di solito si usa sempre uno per tutti come username) nel campo my email address e facciamo clic infine su Check Now.
Se il nostro indirizzo email è compromesso o è stato compromesso in passato, apparirà subito una finestra d'allarme che riporterà anche al data dell'ultima segnalazione riguardo alla fuga di dati pubblicata dagli hacker.

Firefox Monitor è un servizio online ufficiale di Mozilla che permette di scoprire se la login a qualche sito web è stata rubata in occasione di un attacco hacker su quel sito o a seguito di un bug del sito stesso che ha lasciato visibili in chiaro email e password di accesso per tutti gli utenti. Firefox Monitor è un servizio online praticamente basato sul database di haveibeenpwned.com.
Per esempio, controllando l'indirizzo email che uso di più per registrare account web, ho scoperto ben 7 account violati, tra cui Linkedin, Trillian, Tumblr, MySpace e Bitly. Questo non significa che i miei account in quei siti sono stati hackerati, ma che lo sono potenzialmente perchè presenti nella lista di login e password pubblicata online. Se non avessi cambiato la password in questi account in una data successiva al furto dati, questi sarebbero ancora a rischio.

Il servizio di controllo sugli account può anche essere reso automatico con l'app per Windows 10, Hacked.