2024 Non è un buon anno per la sicurezza informatica e per la privacy degli utenti. Gli hack di dimensioni considerevoli si contano a decine e nuovi casi spuntano quasi ogni settimana. Ora, a pochi giorni di distanza dall’hack di Wise, una nuova massiccia fuga di password. Questa non riguarda un servizio specifico, ma ha raggiunto una pietra miliare che non passerà inosservata: è la più grande nella storia di Internet.
Tutto è iniziato lo scorso giovedì 4 luglio quando, in uno dei più importanti forum di hacker del mondo, un file chiamato “rockyou2024.txt“di dimensioni considerevoli. All’interno c’era la fuga di password più rilevante fino ad oggi.
Gli utenti che hanno osato scaricarla e guardarla si sono trovati di fronte a un totale di 9.948.575.739 password trapelate. Sì, quasi 10 miliardi di password. Ora, a pochi giorni dalla sua pubblicazione, alcuni ricercatori hanno stabilito che si tratta di una di attacchi vecchi e nuovi.
Ma, cosa contiene esattamente il file? Per quanto ne sappiamo, il downloader avrà accesso a un elenco nel formato di testo semplice con tutte le password. Niente e-mail, nomi utente o servizi correlati: solo password.
A cosa servono 10 miliardi di password?
Probabilmente starete pensando che non ha senso avere un file di password. se non sono collegate a un servizio e a un nome utente. Sebbene questo dettaglio renda la fuga di notizie meno importante, non la rende meno problematica.
La buona notizia è che il vostro vicino di casa non sarà in grado di scaricarla, cercare i vostri dati e accedere ai servizi che utilizzate. È impossibile collegare una qualsiasi di queste password a utenti specifici, quindi la loro uso doloso diventa insignificante per gli utenti comuni..
D’altra parte, gli hacker si sfregano le mani per una fuga di password come questa. Perché? È possibile utilizzarla per effettuare attacchi a forza brutache utilizzano sistemi di tentativi ed errori fino a trovare una chiave valida.
Il software e l’hardware per questo tipo di attacco si basano sulla casualità, quindi la loro efficienza non è solitamente degna di nota. Tuttavia, se possono lavorare con un database come rockyou2024.txt, tutto cambia. Non c’è bisogno di ricorrere a chiavi casuali e, sebbene il numero sia enorme, un buon programma di brute-force può analizzare questo file con relativa facilità per abbinare le chiavi ai nomi utente.
Come funziona esattamente? Facciamo un esempio: immaginiamo che l’hacker pepito voglia accedere al vostro account Netflix. Grazie a un elenco, ha ottenuto l’account di posta elettronica con cui vi loggate, anche se non conosce ancora la password. Scarica un programma di forza bruta, apre il file rockyou2024.txt e lo mette al lavoro.
Il software va test di accesso con le vostre password di posta elettronica e di fileQuindi, se la vostra password è stata diffusa, è solo questione di tempo prima che possa accedere al vostro account Netflix.
Quanto tempo? Per darvi un’idea, un buon algoritmo di hashing con una GPU RTX3090 è possibile provare alcuni 6 miliardi di password al minuto. In altre parole, con una tale fuga di notizie, basterebbero un paio di minuti per indovinare la password di qualsiasi servizio Internet.
Siete interessati da questa fuga di password?
Data la sua portata, è altamente probabile che sì. 10 miliardi di password sono un numero elevato di password trapelate, quindi esiste la possibilità che una gran parte della popolazione mondiale abbia una presenza -anonimo, si badi bene-. in questo enorme archivio.
Secondo gli esperti, la fuga di password potrebbe contenere password di 20 anni fa, ma anche alcune molto recenti prese da attacchi come Ticketmaster, Santander o Snowflake. Pertanto, le vostre password potrebbero essere esposte nella e un hack a forza bruta potrebbe consentire l’accesso ad alcuni dei servizi utilizzati su Internet.
È consigliabile cambiare la password? Così come è probabile che le vostre password si trovino in questo file, è anche improbabile che qualcuno vi prenda di mira per uno di questi attacchi. Gli accessi brute-force non sono facili da eseguire, quindi non sono disponibili per tutti.
Detto questo, anche se è poco probabile che qualcuno acceda a Gmail, Netflix o Amazon, le dichiarazioni degli esperti indicano la possibilità di un attacco di tipo brute-force. raccomandano di cambiare le passwordsoprattutto se si usa la stessa password per un gran numero di servizi.