La pericolosa, ma diffusa, abitudine di utilizzare sempre le medesime password per l’accesso a diversi servizi in Rete offre un vantaggio importante ai moderni cybercriminali. Sfruttando le falle per accedere ai servizi web, rubano e poi rivendono sul dark web archivi di credenziali (nomi utenti. indirizzi mail, password…), che poi saranno utilizzate per accedere indebitamente ad altri servizi.
Ad esempio, se utilizzo il mio indirizzo mail istituzionale mario.rossi@unisi.it e la medesima password sia per la posta elettronica di Ateneo che per, ad esempio, Dropbox e Skype, se uno di questi servizi venisse compromesso i cybercriminali avrebbero a disposizione due informazioni importanti che gli permetterebbero di accedere sia ai file su Dropbox che alle conversazioni fatte su Skype, oltre che alla posta elettronica istituzionale. Se può sembrarvi uno scenario surreale, sappiate che eventi del genere accadono quotidianamente.
Se alcuni data breach (è questo il nome tecnico del furto di dati, credenziali comprese) rimangono gelosamente custoditi da chi li compie, molti altri finiscono sul mercato del dark web e possono in qualche modo essere utilizzati da piattaforme “benefiche” come HaveIBeenPwned.com (la più famosa). Questo sito web permette, inserendo un indirizzo mail, di verificare se è presente in qualche data breach.
Verificare un indirizzo e-mail
La procedura di verifica è molto semplice.
1) Da un qualunque browser (Firefox, Chrome…) visitare il sito web haveibeenpwned.com
2) Digitare l’indirizzo mail di cui vogliamo verificare la presenza nei data breach pubblici e cliccare sul pulsante posto sul lato destro “pwned?”
3) Se compare la scritta “Good news — no pwnage found!” e lo sfondo verde, significa che questo indirizzo mail non è presente negli archivi. Ottimo!
4) Se non siete così fortunati, comparirà la scitta “On no – pwned!” e lo sfondo rosso: l’indirizzo mail è stato trovato in qualche data breach. Niente panico! Questo NON significa che il vostro account è compromesso.
In questo caso, scorriamo più in basso e verifichiamo in quali data breaches è stato individuato l’indirizzo mail inserito. In questo caso, ad esempio, si tratta di un vecchio data breach che coinvolse, nel 2012, il popolare sito di file hosting Dropbox.
Oh no – pwned! Cosa fare?
Nel caso l’indirizzo mail sia contenuto in qualche data breach è importante verificare di:
- avere ancora attivo tale account, soprattutto se il breach si riferisce a un evento di molti anni addietro;
- verificare di aver utilizzato una password unica, ovvero non usata per altri servizi. In caso contrario, è necessario cambiare immediatamente la password in tutti gli altri servizi dove sono state utilizzate le medesime credenziali (come quando, perdendo delle chiavi, dobbiamo cambiare le serrature coinvolte…);
- in caso di accessi non autorizzati, è opportuno verificare quali dati possano essere potenzialmente coinvolti. Nel caso siano presenti dati personali di altre persone, documenti aziendali o altro materiale riservato, la normativa prevede l’immediata segnalazione a tutti gli interessati e di procedere con regolare denuncia presso le autorità;
Nel caso il data breach non sia riconducibile a un servizio preciso (es. da una collezione di breach come “Cit0Day”), è opportuno cambiare, per precauzione, le credenziali di qualsiasi account sia stato attivato con l’indirizzo mail compromesso.
Nel caso l’evento coinvolga l’Università di Siena, siete pregati di segnalarlo immediatamente anche all’indirizzo abuse@unisi.it, circostanziando il più possibile l’accaduto. Ricordiamo che eventuali richieste di assistenza, se pertinenti con l’attività istituzionale (non sarà data assistenza su indirizzi mail privati), devono essere indirizzate a helpdesk@unisi.it