Un enorme database non protetto contenente 149 milioni di credenziali di accesso univoche è stato scoperto da un ricercatore di sicurezza digitale. L’esposizione, che non prevedeva alcun tipo di crittografia o password, ha lasciato i dati vulnerabili a chiunque avesse accesso al suo indirizzo Internet. Il volume delle informazioni rappresenta un rischio significativo per milioni di utenti in tutto il mondo.
All’interno del vasto set di dati, un totale di 48 milioni di record corrispondevano ad account di Gmail, il popolare servizio di posta elettronica di Google. Além dal servizio Google, sono state trovate credenziali per diverse altre piattaforme digitali, inclusi social network e servizi di streaming, ampliando la portata dell’incidente.
Dalle prime indagini risulta che le informazioni non sono state ottenute tramite un’invasione diretta dei server delle aziende interessate. Invece, i dati sono stati compilati nel tempo dal malware “infostealer”, che infetta i personal computer e ruba le informazioni inserite dagli utenti stessi.
L’origine della massiccia compilazione di dati
L’analisi dei file ha rivelato che il database era continuamente alimentato da log generati da malware specializzati nel furto di informazioni. Esses I programmi dannosi operano silenziosamente sui dispositivi infetti, catturando tutto ciò che viene digitato nei campi di accesso, come nomi utente e password, nonché i cookie di sessione che possono consentire l’accesso agli account senza la necessità di credenziali. Todo Il materiale raccolto viene quindi inviato a server remoti controllati dai criminali informatici, che lo aggregano in grandi raccolte per la vendita o l’utilizzo in attacchi futuri. Curiosamente, l’esposizione pubblica di questa banca dati, che ammontava a quasi 100 GB, evidenzia una falla di sicurezza nell’infrastruttura stessa dei criminali, che hanno lasciato pubblicamente accessibile su Internet il loro archivio di dati rubati, consentendone l’identificazione e successivamente la rimozione dopo aver informato l’hosting provider.
Giganti della tecnologia nel mirino della criminalità
L’analisi della distribuzione delle credenziali esposte mostra una chiara concentrazione su piattaforme con grande popolarità globale. Gmail è in cima alla lista con circa 48 milioni di account compromessi, seguito da Facebook, con 17 milioni di accessi, e Instagram, con 6,5 milioni di record.
Sono stati colpiti anche altri servizi degni di nota, tra cui Yahoo con 4 milioni di accessi trapelati, Netflix con 3,4 milioni di credenziali e Outlook da Microsoft con 1,5 milioni di voci. La diversità degli obiettivi dimostra l’ampiezza dell’operazione di raccolta dei dati.
La gravità dell’incidente è amplificata dalla presenza di credenziali per accedere ai servizi governativi di diversi paesi e alle piattaforme degli istituti scolastici. Isso aumenta il rischio oltre gli utenti comuni e può compromettere la sicurezza dei dati sensibili aziendali e governativi.
Cos’è l’attacco di credential stuffing
Con un volume così elevato di credenziali valide in loro possesso, i criminali informatici spesso ricorrono a una tecnica di attacco automatizzata nota come “credential stuffing”. Nesse, i robot sono programmati per testare sistematicamente le combinazioni di nome utente e password trapelate su un’ampia gamma di altri siti Web e servizi online. L’efficacia di questa tattica risiede nell’abitudine comune di molti utenti di riutilizzare la stessa password su più piattaforme. Una singola credenziale compromessa può quindi fungere da chiave principale per sbloccare l’accesso a numerosi altri account, dai social network ai servizi bancari ed e-commerce.
Le conseguenze per le vittime possono essere gravi e vanno dal dirottamento dei profili sui social network alle perdite finanziarie dirette e al furto di identità. Una volta che i criminali ottengono l’accesso a un account di posta elettronica principale, come Gmail, possono utilizzarlo per reimpostare le password per altri servizi associati, rafforzando il loro controllo sulla vita digitale di un individuo. La portata dell’attacco è aumentata dall’automazione, consentendo di effettuare milioni di tentativi di accesso in un breve periodo di tempo, rendendo il rilevamento e il blocco una sfida costante per le piattaforme digitali.
La risposta di Google all’incidente
In risposta alla scoperta, Google ha dichiarato di monitorare costantemente le attività esterne che potrebbero compromettere gli account dei suoi utenti. L’azienda ha sottolineato che i suoi sistemi di sicurezza non sono stati violati e che i dati esposti non sono il risultato di un guasto interno.
L’azienda ha ribadito di disporre di meccanismi di protezione automatizzati che identificano attività di accesso sospette. Quando viene utilizzata una credenziale presente negli elenchi di leak noti, il sistema può bloccare l’accesso e avvisare l’utente di modificare immediatamente la password, mitigando il rischio di accesso non autorizzato.
Come si diffonde il malware infostealer
Il malware Infostealer è progettato per essere discreto ed efficiente e installarsi su computer e dispositivi mobili senza che l’utente se ne accorga. La principale via di infezione rimane l’ingegneria sociale, in cui la vittima viene indotta con l’inganno a compiere un’azione dannosa.
Una delle tattiche più comuni è l’invio di e-mail di phishing che contengono allegati o collegamenti infetti che puntano a siti Web falsi. I siti Web Esses spesso imitano pagine di accesso legittime per rubare direttamente credenziali o indurre malware a scaricare.
Un altro importante vettore di propagazione è il download di software piratato o “craccato” da fonti non affidabili. I programmi Esses spesso sono dotati di malware incorporato che viene installato insieme al software desiderato, aprendo una porta per i criminali.
Una volta attivi sul sistema, questi programmi dannosi operano in background, registrando i dati e inviandoli ai propri operatori. Sua La crescente sofisticazione consente a molti di essi di aggirare i software antivirus di base, rendendo la prevenzione e il rilevamento ancora più difficili per l’utente medio.
Raccomandazioni essenziali per una protezione immediata
Di fronte a uno scenario di esposizione su larga scala, è essenziale che gli utenti adottino misure proattive per proteggere i propri conti. La prima azione consigliata è verificare se i tuoi indirizzi email sono presenti in elenchi di perdite note, utilizzando strumenti online specializzati e affidabili per questa query.
Se si sospetta o si conferma una compromissione, le password di tutti gli account associati all’e-mail esposta devono essere modificate immediatamente. È fondamentale creare password uniche e complesse per ciascun servizio, evitando il riutilizzo che facilita gli attacchi di credential stuffing. L’utilizzo di un gestore di password è una pratica altamente consigliata per creare e archiviare queste credenziali in modo sicuro.
Il livello aggiuntivo di autenticazione a più fattori
La misura di sicurezza più efficace per proteggersi dall’uso improprio delle password trapelate è abilitare l’autenticazione a due fattori (2FA) o l’autenticazione a più fattori (MFA) su tutti gli account che offrono questa funzionalità. La funzionalità Essa aggiunge un ulteriore livello di verifica, richiedendo non solo la password ma anche un secondo codice, solitamente inviato a un dispositivo affidabile come un telefono cellulare. Mesmo Una volta che un criminale ha accesso alla password, non sarà in grado di completare il login senza questa seconda forma di autenticazione, rendendo l’account molto più sicuro contro le intrusioni.