I numeri sono da capogiro: 773 milioni di indirizzi web e 22 milioni di password uniche. È stato chiamato Collection #1 e già il nome lascia intendere che ne esistono versioni successive col nome di Collection #2, Collection #3 eccetera. Ne ha dato notizia per primo su Twitter Odisseus, un esperto italiano di cybersecurity, ma a scoprire l’archivio è stato Troy Hunt, il ricercatore informatico autore del sito Have I been pwned “sono stato bucato” che da anni conserva il risultato di successivi furti di dati ai danni di Yahoo!, Facebook, Twitter, Adobe, YouPorn e via dicendo. Secondo Hunt, Collection #1 è “il più grande databreach mai caricato sul sito.” Una prima analisi delle email messe a disposizione dal ricercatore suggerisce che l’enorme archivio sia il frutto di successivi databreach ai danni di singoli privati, siti e organizzazioni commerciali.

Potrebbe essere il più grande furto di email e password password della storia.

Molti dei domini coinvolti finiscono con il .com e altrettanti sono quelli legati a siti porno, social network, portafogli bitcoin. Da quanto ha potuto verificare Agi, le password associate invece sono sia in formato crittografico che nella loro versione in chiaro. Molte email risultano presenti in altri databreach ma, facendo una comparazione automatizzata fra le email già raccolte dal suo sito e quelle appena scoperte, lo stesso Troy Hunt sostiene che “ci sono 140 milioni di email che non erano mai state caricate prima” nel suo database e lo stesso vale per la metà delle password, 10 milioni circa di password “nuove”.

Il ricercatore sostiene di essere giunto a conoscenza dell’archivio dopo averne trovato uno, molto più piccolo di 87 giga, sul sito di hosting Mega, da cui sarebbe stato successivamente rimosso. Ma proprio da lì era partito alla ricerca che l’ha portato in possesso della montagna di dati che ammonta a 1 terabyte di dati. Secondo Sergey Lozhkin, del team di ricerca Great del Kaspersky Lab: “La cosa più preoccupante è che tutti questi dati, ottenuti attraverso varie violazioni, possono essere facilmente trasformati in un unico elenco di indirizzi email e password: tutto quello che i cybercriminali avrebbero bisogno di fare, quindi, è creare un software piuttosto semplice e verificare così l’effettivo funzionamento di quelle stesse password.

Per azioni di phishing, fino ad attacchi mirati per il furto di identità digitali, la sottrazione di denaro o la compromissione dei dati sui social network.” Oltre all’ovvio consiglio di cambiare le password, sostituendole con altre più robuste e complicate, quello che si può intanto fare è verificare se il proprio indirizzo email sia presente nel mucchio usando Have I been pwned. Digitando un indirizzo all’interno della maschera di ricerca del sito si può vedere se la propria email è stata compromessa e se è apparsa su qualche pastebin, le “lavagne bianche” temporanee che gli sviluppatori usano per comunicare in via anonima e veloce e dove anche gli Anonymous pubblicano le “prove” delle loro incursioni. Gli utenti registrati al sito di Hunt possono anche verificare se la propria email sia stata oggetto di databreach che hanno ottenuto dati “sensibili”, oppure fare una verifica simile per la propria password con il motore di ricerca password pwned, sempre di Troy Hunt, che ne contiene 551 milioni. Se si trova la propria password è bene perciò aggiungere un ulteriore livello di sicurezza alla propria casella email attivando la doppia autenticazione laddove sia possibile, facendo anche attenzione a eventuali email “strane” già nei prossimi giorni e incrociare le dita in segno di scongiuro.