Online 711 milioni di credenziali di account e server SMTP

Un ricercatore autonomo ha scoperto un server non protetto e, di conseguenza, liberamente accessibile che ospita ben 711 milioni di email, password e indirizzi di server di posta utilizzati e utilizzabili dagli spammer per inviare messaggi indesiderati.
Il server è fisicamente situato in Olanda e le credenziali in esse contenute sono ad esempio sfruttate dallo spambot chiamato Onliner per recapitare – ad esempio – il malware Ursnif, capace di sottrarre le credenziali d’accesso ai servizi di online banking una volta in esecuzione.

Troy Hunt, ricercatore che gestisce personalmente il sito Have I been pwned ha commentato la scoperta spiegando che il 27% delle credenziali sono già presenti nel suo database e che alcuni dati sono evidentemente danneggiati (qui la sua analisi).
Purtuttavia, l’incidente è davvero rilevante perché i file di testo contengono anche una lunga lista di server SMTP con le relative credenziali.
Ciò significa che tali dati di autenticazione possono essere usati dagli spammer per inviare email da server di posta altrui e aumentare drasticamente le possibilità che i messaggi truffaldini vengano recapitati al destinatario.

Il sito Have I been pwned non pubblica in chiaro alcun nome utente e password: aiuta invece gli utenti a scoprire se il loro account fosse stato in qualche modo violato o comunque qualche credenziale d’accesso possa essere nelle mani di spammer e malintenzionati.

Digitando il proprio nome utente o il proprio indirizzo email nella home page di Have I been pwned, si può verificare se i dati di accesso al corrispondente account fossero stati sottratti nell’ambito di qualche aggressione (sferrata nei confronti dei gestori dei vari servizi online).

Se, scrivendo i propri nome utente o email, nell’apposita casella di ricerca su Have I been pwned, non significa necessariamente che le credenziali d’accesso all’account principale sono state trafugate. Piuttosto, è certo che alcuni dati personali (comprese le password, ove specificato), siano stati sottratti.
Si supponga di aver specificato un indirizzo email @gmail.com per registrarsi al servizio “ABC”. Se un aggressore fosse riuscito ad attaccare i server del servizio “ABC” verosimilmente questi ha potuto impossessarsi del database con nomi utente e password.
Egli avrà quindi letto l’indirizzo email @gmail.com e si sarà impossessato della password per l’autenticazione al servizio “ABC” o comunque del suo hash.
L’aggressore conoscerà al limite, quindi, la password per l’accesso al servizio “ABC”, saprà dell’esistenza dell’account @gmail.com ma non potrà conoscere la password per l’accesso all’account @gmail.com (sempre che l’utente non abbia commesso il gravissimo errore di usare la stessa password sia per proteggere @gmail.com che “ABC”…).

Nel caso in cui Have I been pwned dovesse riportare il messaggio “Oh no, pwned“, il consiglio è quello di modificare immediatamente le credenziali di accesso per i servizi indicati.

Suggeriamo anche la lettura dell’articolo No, le password complesse non sono facili da violare: che confusione!.