IL DISCLOSURE DI NAZ.API: QUANDO LA VOSTRA PASSWORD FA PARTE DI UNA LISTA
Avete anche voi ricevuto un’email recante il seguente messaggio “You’re one of 70,840,771 people pwned in the Naz.API data breach“? Ebbene, sappiate che non siete i soli. Il messaggio proviene da Have I been pwned, il noto servizio che tiene traccia degli incidenti informatici dei quali è emersa una qualche evidenza e che hanno portato alla sottrazione di dati personali, come nomi utente, password e altre informazioni riservate.
COSA SONO LE CREDENTIAL STUFFING LIST
Troy Hunt, ideatore e gestore del servizio Have I been pwned, spiega di aver ricevuto nelle scorse ore una segnalazione sin da subito rivelatasi estremamente promettente. L’autore della missiva invitava Hunt a prendere visione del contenuto di una ricca credential stuffing list. Così sono chiamate le raccolte di credenziali di accesso ottenute come conseguenza di attacchi informatici e violazioni precedentemente messe a segno.
LA LISTA NAZ.API: VERIFICATE SE CI SIETE ANCHE VOI
L’amministratore di Have I been pwned osserva che la lista Naz.API contiene 319 file per un totale di 104 GB di dati. Questi oggetti ospitano, a loro volta, qualcosa come quasi 71 milioni di indirizzi email unici, insieme con una serie di password corrispondenti. Questa volta la sottrazione dei dati sembra avvenuta sui sistemi dei singoli utenti. L’analisi svolta da Hunt ha permesso di accertare che questa pingue credential stuffing list è figlia dell’azione di malware che hanno rubato le credenziali da macchine infettate e compromesse.
Per approfondire ulteriormente l’incidente, Hunt ha contattato alcuni utenti di Have I been pwned per verificare l’attendibilità dei dati. Molti di loro hanno confermato che quelle indicate nell’elenco sono password effettivamente da loro usate per accedere a vari servizi online, attualmente o in passato.
Dal momento che si tratta di una lista che sembra nuova, non un collage di elenchi già abbondantemente in circolazione in passato, Hunt ha impostato il mail server di Have I been pwned per contattare i soggetti coinvolti e informarli circa la loro presenza nella credential stuffing list.
Data l’importanza della lista Naz.API, tutte le password rinvenute sono state incluse in Pwned Passwords, servizio gratuito che consente agli utenti di verificare se le loro password fossero state compromesse. Suggeriamo di controllare le password violate e insicure usando proprio Pwned Passwords perché – per ovvi motivi di Sicurezza – esse sono completamente svincolate rispetto ai nomi utente corrispondenti.
CONCLUSIONI
In conclusione, quanto avvenuto con la divulgazione delle informazioni riguardanti la lista Naz.API ha generato una forte ondata di preoccupazione tra gli utenti, evidenziando ancora una volta l’importanza di utilizzare password solide e non ripetere le stesse credenziali su diversi servizi online. Al di là delle implicazioni individuali, l’evento ha anche riacceso i riflettori sull’importanza di una maggiore sicurezza informatica a livello globale e sull’urgente necessità di misure più rigorose da parte di aziende e organizzazioni per proteggere i dati sensibili dei propri utenti.
Inoltre, è essenziale tenere presente che attacchi informatici come quello relativo alla lista Naz.API mettono in luce quanto sia importante il costante aggiornamento delle misure di sicurezza e l’adozione di buone pratiche da parte di tutti i soggetti coinvolti, al fine di prevenire futuri incidenti informatici.