RockYou2024 e le altre quattro più grandi violazioni di dati della storia

Analizziamo le più eclatanti fughe di dati di sempre: da Yahoo a RockYou2024.

Negli ultimi anni si è assistito a un costante aumento della quantità di dati compromessi. Le notizie su nuove fughe di dati e attacchi di hacker sono all’ordine del giorno e noi di Kaspersky non smettiamo mai di informare della necessità di proteggersi, ora più che mai.

Oggi facciamo un tuffo nella storia e ricordiamo (con qualche brivido) le più grandi e gravi violazioni di dati di tutti i tempi. Continua a leggere per scoprire quante ve ne sono state, che tipo di informazioni sono trapelate, chi è stato colpito e molto altro ancora.

1.    RockYou2024

In breve: gli hacker hanno raccolto dati da violazioni precedenti e hanno divulgato la più grande raccolta illegale di password utente: ben 10 miliardi!

Quando: 2024.

Chi è stato colpito: utenti in tutto il mondo privi di solida protezione

RockYou2024 è la regina delle fughe di dati e una spina nel fianco per chi pensava che gli hacker non fossero interessati a queste cose. A luglio 2024 i cybercriminali hanno fatto trapelare una gigantesca raccolta di password su un forum di hacking: 9.948.575.739 record univoci in totale. Nonostante fosse una compilation basata sulla vecchia violazione di RockYou2021, RockYou2024 continua a… risuonare, per così dire.

Il nostro esperto, Alexey Antonov, ha analizzato la violazione e ha scoperto che l’83% delle password trapelate era violabile con un algoritmo di ipotesi intelligente in meno di un’ora, e solo il 4% (328 milioni) era valutabile come forte, cioè craccabile in più di un anno con lo stesso metodo. Per dettagli su come funzionano gli algoritmi intelligenti, rimandiamo al nostro studio sulla sicurezza delle password, che, analizzando le password degli utenti reali trapelate nel Dark Web, mostra che troppi di noi sono ancora incredibilmente indifferenti alla sicurezza delle password.

Nell’analizzare l’ultima fuga di dati, Alexey ha filtrato tutti i record non pertinenti e ha lavorato sulla quantità rimanente… cioè 8,2 miliardi di password archiviate in chiaro da qualche parte!

2.   CAM4

In breve: un server mal configurato ha esposto al pubblico 11 miliardi di record di clienti di informazioni a buon diritto riservate, dato che CAM4 è… un sito per adulti!

Quando: 2020.

Chi è stato interessato: utenti del sito per adulti CAM4.

Questa storia è interessante per due motivi: la natura delle informazioni trapelate e le modalità. Tra i dettagli “standard” trapelati (nome, cognome, indirizzo e-mail, registri dei pagamenti e così via) c’erano informazioni di natura molto più intima: preferenze di genere e orientamento sessuale. Gli utenti dovevano fornire queste informazioni al momento della registrazione prima di poter godere dei contenuti della piattaforma di streaming per adulti.

La fuga di dati è stata causata da un database Elasticsearch non protetto. Tuttavia, non è finita poi così male, né in modo troppo imbarazzante: se dovessimo raccogliere tutte le segnalazioni relative alle violazioni in un libro, otterremmo un bel fermaporta, ma la storia di CAM4 occuperebbe un piccolo, anche se importante, capitolo: “La più grande (non) fuga di dati della storia”. Questo perché, fortunatamente, il database è stato chiuso entro mezz’ora dalla scoperta dell’errore e successivamente spostato su una rete locale interna. I dati personali degli utenti sono poi stati eliminati.

3.    Yahoo

In breve: Un attacco hacker ha colpito tutti i tre miliardi di utenti della piattaforma, ma Yahoo lo ha ammesso solo tre anni dopo.

Quando: 2012, 2013… o era il 2014? Nemmeno Yahoo lo sa per certo.

Chi è stato colpito: tutti gli utenti Yahoo.

Più di un decennio fa, Yahoo è stata violata (tutto è iniziato con un’e-mail di phishing), portando a una serie di notizie su una presunta fuga di dati. I primi rapporti parlavano di un paio di centinaia di milioni di account compromessi, saliti poi a circa 500 milioni; nel 2017, alla vigilia dell’accordo tra Yahoo e Verizon, si scoprì che tutti i tre miliardi di account erano stati colpiti. Gli hacker erano entrati in possesso di nomi, indirizzi e-mail, date di nascita e numeri di telefono. Peggio ancora, avevano avuto accesso agli account che da anni usavano la medesima password. Ora capisci perché è così importante cambiare le password regolarmente ed eliminare i profili che non usi più?

Questo incidente è un’ulteriore prova che anche i giganti della tecnologia a volte non riescono a conservare correttamente i dati degli utenti. Nel caso di Yahoo, gli aggressori hanno trovato un database di domande e risposte di sicurezza non criptate e alcuni account non disponevano affatto di autenticazione a due fattori. Morale della storia: non fare affidamento sui social network o sulle piattaforme online per proteggere i tuoi account personali. Crea o genera password complesse e archiviale in Kaspersky Password Manager. E se temi che i tuoi dati siano già trapelati, installa una qualsiasi delle nostre soluzioni per la sicurezza domestica:Kaspersky Standard e Kaspersky Plus ti permettono entrambe di specificare tutti gli indirizzi e-mail usati da te e dalla tua famiglia per accedere ai servizi online. L’applicazione controlla regolarmente questi indirizzi e segnala eventuali violazioni dei dati che coinvolgono i relativi account.

In Kaspersky Premium, oltre a un elenco di e-mail, è possibile aggiungere numeri di telefono, in genere usati per identificare gli utenti di servizi online più sensibili come i servizi bancari. La nostra applicazione cerca questi numeri e indirizzi in tutte le nuove fughe di dati e, se li trova, ti avverte e ti consiglia cosa fare (qui puoi leggere come ti proteggiamo dalle fughe di dati personali finiti online o nel Dark Web).

4.    UIDAI (Aadhaar)

In breve: i dati biometrici di quasi tutti i cittadini e i residenti in India sono stati messi in vendita.

Quando: 2018.

Chi è stato colpito: 1,1 miliardi di cittadini e residenti in India.

La Unique Identification Authority of India (UIDAI) gestisce il più grande sistema di bio-identificazione al mondo, archiviando i dati personali, le impronte digitali e le foto dell’iride di oltre un miliardo di persone in India.

Mentre molti Paesi in tutto il mondo sono ancora alle fasi iniziali di pianificazione dell’identificazione biometrica, l’India dispone di tale sistema da oltre un decennio. La UIDAI è stata creata in modo da dare a ogni singolo residente in India un numero di identificazione ufficiale univoco, chiamato Aadhaar.

Ma nel 2018, a seguito di una serie di fughe di dati, i cybercriminali non solo hanno messo le mani sul database, ma lo hanno venduto per sole 500 rupie (circa 6 euro al tasso di cambio odierno). Un’altra massiccia violazione dei dati si è verificata nel 2023, questa volta con un impatto su 815 milioni di cittadini.

Le banche e le forze dell’ordine continuano a consigliare alle vittime delle fughe di dati di disabilitare l’autenticazione biometrica per i servizi finanziari. Ma questa non è una garanzia di sicurezza, dal momento che i loro nomi, numeri di passaporto, foto, impronte digitali e altre informazioni sono probabilmente nelle mani dei cybercriminali.

5.    Facebook

In breve: l’azienda non ha notificato agli utenti una violazione dei dati di cui era a conoscenza da due anni.

Quando: 2019.

Chi è stato colpito: 533 milioni di utenti Facebook.

Nessuno si sorprende più a vedere le parole “Facebook” e “violazioni” fianco a fianco. La piattaforma cade regolarmente vittima di attacchi di hacker e fughe di dati interne. Questa particolare violazione, la più grande nella storia dell’azienda, ha visto i nomi, i numeri di telefono e i dati geografici di 533 milioni di utenti cadere nelle grinfie dei cybercriminali, i quali li hanno poi pubblicati su un forum di hacking da cui chiunque poteva scaricarli gratuitamente. E non solo i dati di normali account, ma anche quelli di personaggi pubblici, tra cui il commissario UE alla Giustizia Didier Reynders e l’allora primo ministro del Lussemburgo (ora ministro degli Esteri) Xavier Bettel.

Se sospetti di essere stato colpito dalla fuga di dati di Facebook, usa il nostro strumento Controllo password per scoprire se la tua password è stata compromessa in questa o in altre fughe di dati.

I dati trapelati risalivano al 2018-2019, sebbene le informazioni a riguardo siano apparse solo nel 2021. Come è potuto succedere? Il fatto è che gli hacker hanno sfruttato la vulnerabilità nel 2019, che Facebook ha subito corretto dimenticandosi però (a voler esser buoni) di rendere noto il fatto ai propri utenti. Di conseguenza, Meta ha dovuto affrontare pesanti critiche e una grossa multa di 265 milioni di euro .

Cosa ci insegnano queste fughe?

Il filo conduttore che lega tutte queste storie è: “Big Tech aiuta chi si aiuta”. In altre parole, siamo noi stessi i principali responsabili della sicurezza dei nostri dati, non Facebook, non Yahoo, nemmeno i governi. Prenditi cura dei tuoi account, crea o genera password complesse, archiviale in un gestore di password sicuro e presta particolare attenzione ai dati biometrici.

  • Non riusare le stesse password. Se sei il tipo da “una password per tutte le occasioni” e usi Internet da almeno qualche anno, abbiamo alcune brutte notizie per te (vedi link).
  • Controlla se le tue password sono state compromesse. Se hai la nostra protezione, puoi usare lo strumento Controllo protezione dei dati per inserire un elenco di indirizzi e-mail e controllare i tuoi account utente. gli utenti di Kaspersky Premiumhanno anche la possibilità di controllare i numeri di telefono usando la funzione di identificazione dei furti. Le applicazioni controllano automaticamente queste informazioni per vagliare l’esposizione a nuove fughe di dati. E nel nostro gestore di password è sufficiente selezionare Controllo password dal menu o fare clic sull’icona della chiave nella barra delle applicazioni e tutte le password memorizzate verranno controllate per verificarne la protezione, l’unicità ed eventuali fughe di dati. Tutti gli altri utenti possono usare il nostro servizio gratuito Controllo password.
  • Se possibile, abilita l’autenticazione a più fattori (2FA).
  • Non memorizzare le password nei browser. Usa uno strumento di gestione delle password per generare password univoche ed efficaci per tutti gli account importanti, in modo da escogitare e ricordare una sola password, quella principale, che funga da chiave principale per tutte le altre password. Ciò proteggerà e cripterà il tuo archivio di password e altri dati vitali.
Consigli