L’autore del servizio gratuito è “Have I been pwned” e conferma la scoperta di un archivio estremamente vasto chiamato “Collection #1”, che contiene le credenziali di milioni di utenti. Per verificare se i propri nomi utente e password fossero noti ai criminali informatici cliccare su questo link ed inserire la propria mail. Il sistema vi indicherà se la mail ha subito attacchi o furto dati. Gli attacchi di tipo credential stuffing sono comunemente sfruttati da parte dei criminali informatici con il preciso obiettivo di provare ad accedere ad altri account online appartenenti agli stessi utenti. Sfruttando uguali credenziali o password leggermente modificate rispetto a quelle rinvenute in attacchi condotti nei confronti dei fornitori di vari servizi online o nel corso di campagne phishing. Moltissimi utenti, purtroppo, ancora oggi adoperano la stessa password su più servizi non soppesando il pericolo intrinseco di questa pratica. E pensare che i meccanismi di autenticazione a due fattori permettono di spazzare via ogni rischio di aggressione e sottrazione dei propri dati personali, ma purtroppo la verifica in due passaggi di Google è gestita dal 10% degli utenti. L’ideatore e amministratore del noto servizio Have i been pwned, Troy Hunt, ha fatto presente di aver individuato su un forum incentrato sulle tecniche di hacking e cracking un archivio contenente qualcosa come 773 milioni di indirizzi email unici e 21 milioni di password. Dopo una prima analisi del contenuto dell’archivio, il ricercatore ha potuto verificare come addirittura 140 milioni di indirizzi email e 10 milioni di password non fossero presenti nel database di Have I been pwned. Quindi si tratta di dati del tutto nuovi che arrivano presumibilmente da fonti molto diverse e quindi da singoli attacchi sferrati nel corso del tempo nei confronti di diversi soggetti. Il consiglio migliore resta quello di utilizzare il servizio Have i been pwned per controllare il proprio indirizzo email, e se venissero restituiti riferimenti a Collection #1 è bene attivarsi subito per modificare la password utilizzata sui vari servizi (account di posta, social, piattaforme online,…) in cui si utilizza lo stesso account di posta per il login, e poi attivare l’autenticazione a due fattori se possibile. Questa pagina, sempre realizzata da Hunt, permette di cercare le proprie password, ad esempio quelle che si utilizzavano in passato senza abbinarle ad un indirizzo email ed il servizio indicherà se sono state oggetto di qualche furto di dati.