I ricercatori di sicurezza di Security Discovery e CyberNews hanno scoperto un database esposto che contiene 26 miliardi di record di dati rubati suddivisi in 3.800 cartelle, ciascuna delle quali corrisponde a una violazione dei dati separata. Un data breach di proporzioni enormi, probabilmente il più grande scoperto fino ad oggi, che si è subito guadagnato il soprannome di Mother of all Breaches (MOAB).

Pur tenuto conto di duplicati e di dati coinvolti in data breach già noti, secondo CyberNews parte dei dati (e si parla di miliardi di record) consisterebbe in informazioni inedite. Il database risiedeva su un'istanza di archiviazione aperta e gli esperti non escludono a priori che possa essere il frutto del lavoro di un broker di dati, ossia di un criminale informatico specializzato nel furto, aggregazione e rivendita di informazioni.

Che cosa sappiamo sui dati

Le informazioni finora divulgate riferiscono che il maggior numero di record (1,4 miliardi), proviene dall’app cinese di messaggistica istantanea Tencent. Ci sono poi 504 milioni di record provenienti da Weibo, 360 milioni da MySpace, 281 milioni da Twitter, 258 milioni da Deezer, 251 milioni da Linkedin, 220 milioni da AdultFriendFinder, 153 milioni da Adobe, 143 milioni da Canva, 101 milioni da VK, 86 milioni da Daily Motion, 69 milioni da Dropbox, 41 milioni da Telegram, per citare le aziende più popolari.

I ricercatori riferiscono inoltre che fra i dati risultano anche documenti di varie organizzazioni governative statunitensi, brasiliane, tedesche, turche e di altri Paesi.

I rischi

Il ricercatore di sicurezza Bob Dyachenko di Security Discovery scrive che "i cyber criminali potrebbero sfruttare questi dati aggregati per un'ampia gamma di attacchi, tra cui il furto di identità, sofisticati schemi di phishing, attacchi mirati e accesso non autorizzato ad account personali e sensibili".

Qualora nel database fossero presenti (ed è altamente probabile) password riciclate, sarebbero a rischio anche servizi collaterali non coinvolti come per esempio Gmail. Se gli utenti avessero usato la stessa password per il loro account LinkedIn e per quello Gmail, gli attaccanti potrebbero agevolmente saltare da un servizio all’altro fino ad arrivare a quelli più sensibili. Il rischio, per dirla con le parole dei ricercatori, è di ritrovarsi coinvolti in “uno tsunami di attacchi di credential stuffing”. Un altro rischio altissimo è che gli utenti coinvolti diventino vittime di attacchi di spear-phishing o vengano inondati di email di spam. Sono questi i motivi per i quali Jake Moore, Global Security Advisor di ESET, esorta a prestare particolare attenzione alle email di phishing dopo la violazione.

Il commento dell'esperto

Matt Cooke, Cybersecurity Strategist, EMEA di Proofpoint ha commentato l’accaduto sottolineando che “Negli ultimi anni Proofpoint ha osservato che i criminali informatici utilizzano tattiche che cercano sempre più spesso di accedere ai dati e non per forza di comprometterli, ponendo attenzione particolare al furto di identità. Questo ultimo leak sembra riunire dati provenienti da violazioni storiche, ma la vasta quantità di informazioni disponibili significa che è probabile che nelle prossime settimane gli attori delle minacce possano effettuare attacchi basati sulle credenziali. Il loro furto di credenziali non è una novità a livello globale e in Italia.

Nostri dati recenti rivelano che tra le aziende italiane che hanno subito un tentativo di attacco di phishing nell’ultimo anno, nel 79% lo hanno visto andare a buon fine. Alla luce di ciò, Proofpoint esorta tutti gli utenti a praticare una buona gestione delle password e assicurarsi di utilizzare password uniche per tutti i servizi che utilizzano. Dovrebbero controllare le notifiche di violazione da parte di tutti i servizi che utilizzano e cambiare la loro password se le loro credenziali potrebbero essere state compromesse. Convalidare sempre direttamente le notifiche di violazione con i siti, poiché, anche se non ne abbiamo ancora alcuna prova, è possibile che i truffatori sfruttino le notifiche di violazione come mezzo per ingannare la loro prossima vittima. Il fragore pubblico che circonda il caso MOAB fornisce loro il pretesto, quindi è bene stare attenti".

Questi i consigli di Proofpoint per una maggiore consapevolezza informatica:

• Gli eventi di perdita di dati sono molto diffusi, quindi è importante creare una password unica. Utilizzate tre parole casuali per creare una password forte e facile da ricordare e attivate l’autenticazione a più fattori (MFA) ove possibile.
• La tempestività è un fattore chiave per i criminali informatici. Diffidate di email, messaggi o annunci pubblicitari non richiesti, che propongono offerte incredibilmente vantaggiose su articoli cercati e sembrano troppo belle per essere vere, che appaiono improvvisamente nella vostra casella di posta.”