È stato chiamato COMB (Compilation of Many Breaches) ed è un’immensa raccolta di informazioni personali di oltre 3 miliardi di utenti che contiene le combinazioni in chiaro di login e password. 
Gli esperti di sicurezza informatica sono concordi nell’affermare che l’ultima raccolta contenente combinazioni univoche di nome utente/password di oltre 3 miliardi di account rappresenti un assoluto inedito.
L’elenco non sembrerebbe essere frutto di un unico episodio, bensì una compilation di più attacchi raccolti in un unico archivio creato ad hoc per dare una maggior eco.
A conferma di questo, parrebbe che la raccolta pubblicata per la prima volta sul forum di riferimento hacking Raidfroum risulti essere un mix di account presi da servizi di vario genere come Netflix, Linkedin, Exploit.it, Bitcoin e via dicendo. Tutte incluse in un unico, grande archivio come mai era successo in precedenza.
Il rischio più concreto per gli utenti, come nella stragrande maggioranza di questi casi, è che la divulgazione delle credenziali possa portare a violazioni a cascata anche su siti terzi su cui gli utenti sono registrati.
Capita spesso, infatti, che gli utenti, per semplificare le procedure di registrazione su siti considerati di minor importanza, tendano ad utilizzare il medesimo abbinamento nome/password impiegato in altri portali o servizi.
Un’altra conseguenza cui le fughe di dati possono portare, oltre al furto delle identità digitali, sono le campagne di phishing.
Ma un ulteriore inquietante particolare è rappresentato dal vasto campionario di password: un ghiotto elemento statistico da cui trarre le parole chiave più utilizzate e riproporle in futuri attacchi. Magari di tipo brute force.
Come tutelare la sicurezza dei propri dati online?
Un buon modo per capire se gli account riconducibili ad un indirizzo di posta elettronica siano stati violati è quello di rivolgersi a servizi come CyberNews o have i been pwned che effettuano ricerche incrociate sui dati di migliaia di data breach (fughe di dati).
Interpellare questa specie di oracoli, però, può non bastare. Che il responso sia positivo o negativo, la tutela dei propri accessi passa anche attraverso piccole e rapidissime consuetudini che andrebbero acquisite celermente.
La prima, fondamentale, pratica è quella di utilizzare password lunghe e complesse (composte da caratteri alfanumerici e simboli, laddove permesso). Ma soprattutto diverse da sito a sito e cambiate frequentemente.
Nel caso in cui, comprensibilmente, ricordare decine di parole chiave risulti difficile, si può far ricorso ad un password manager affidabile.
Per stabilire un ulteriore livello di sicurezza durante le fasi d’accesso, è consigliabile utilizzare l’autenticazione a due fattori con codici che vengono rinnovati e generati in continuazione.
LEGGI ANCHE >>> IPTV e streaming illegale: il giro d’affari è di 1 miliardo di euro
Tralasciando la verifica via sms – dannosa più che inutile in caso di sim swap – il consiglio è di utilizzare applicazioni come Google Authenticator. Vincolate al dispositivo e non al numero telefonico. Ma soprattutto pratiche e facilmente trasferibili in caso di acquisto di un nuovo smartphone.
POTREBBE INTERESSARTI >>> Centinaia di account rubati su Instagram, TikTok e Twitter sono stati disabilitati
Insomma, vista la mole di dati trafugati che viaggia quotidianamente nel “dark side of internet” e considerando l’importanza delle informazioni personali che esse proteggono (dati sanitari o bancari, per esempio), è bene spendere un po’ più di tempo sulla cura e la sicurezza della nostra vita digitale.
