Da ieri circola la notizia di un clamoroso furto di password ai danni degli utenti di Gmail: si parla di circa 5 milioni di utenze, i cui dati di accesso sarebbero stati pubblicati da un utente del forum russo Bitcoin Security.
Nel comunicare la notizia, molte fonti indicano di rivolgersi al sito isleaked.com, per le opportune verifiche. Il sito è stato messo online a nome di Egor Buslanov, con un dominio registrato in data 8 settembre 2014, proprio due giorni prima della pubblicazione su Bitcoin Security (dati verificabili attraverso qualunque servizio whois disponibile in rete). Non fornisce alcun elenco, ma chiede all’utente di inserire il proprio indirizzo e-mail promettendo un celere responso. La homepage di default è scritta in russo, con versioni in inglese e spagnolo.
Questi presupposti – insieme a quanto sto per aggiungere – mi sembrano sufficienti ad essere guardingo e a non affrettarmi a sfruttare questo servizio. Per consapevole autolesionismo tecnologico ho inserito personalmente i dati di un account Gmail. Il responso è stato positivo, tanto che isleaked.com – per dimostrarsi attendibile – mi ha anche indicato i primi due caratteri della password che gli risulta trafugata. Peccato che non fossero affatto corrispondenti a quelli della password reale (ne’ attuale, ne’ precedente).
Questo risultato inattendibile, insieme al fatto che la verifica si basa sul fatto che un utente debba comunicare il proprio indirizzo e-mail ad uno sconosciuto, suggerisce di utilizzare la dovuta cautela e di rivolgere attenzione altrove. Certo, il rischio più immediato potrebbe essere limitato a ricevere un po’ di spam aggiuntivo, ma personalmente penso di poterne comunque fare a meno.
L’Online Security Blog di Google ieri ha pubblicato un articolo in cui si spiega che, fra tutti i dump pubblicati in rete (ottenuti dalla combinazione di dati provenienti da fonti esterne a Google), le combinazioni username+password che possono realmente consentire l’accesso ad un account altrui sono meno del 2% e, in ogni caso, i sistemi anti-hijacking di Google sono in grado di bloccare buona parte dei tentativi di accesso fraudolento. Considerando che l’ecosistema Google in fatto di privacy è imbattibile (nel senso che loro sono maestri assoluti nel raccogliere ed elaborare informazioni personali altrui), penso che l’affidabilità di questi sistemi sia quantomeno verosimile.
Avete il dubbio che il vostro account possa essere stato compromesso? Non pensateci due volte: cambiate password, scegliendone una forte e sicura (come ricordavo qualche giorno fa), perché…
Il rischio aumenta quando la password è semplice e non è stata generata con gli opportuni criteri di complessità (ad esempio quelli illustrati nell’articolo Scegliere password più sicure su Mozilla Support, oppure in Creazione di una password forte a cura di Google Support). Oppure se il servizio di password reset è impostato con risposte prevedibili o facilmente reperibili.