Naz.API, cos'è l'attacco che ha svelato milioni di password

Avete anche voi ricevuto un’email recante il seguente messaggio “You’re one of 70,840,771 people pwned in the Naz.API data breach“? Ebbene, sappiate che non siete i soli. Il messaggio proviene da Have I been pwned, il noto servizio che tiene traccia degli incidenti informatici dei quali è emersa una qualche evidenza e che hanno portato alla sottrazione di dati personali, come nomi utente, password e altre informazioni riservate.

Cosa sono le credential stuffing list

Troy Hunt, ideatore e gestore del servizio Have I been pwned, spiega di aver ricevuto nelle scorse ore una segnalazione sin da subito rivelatasi estremamente promettente. L’autore della missiva invitava Hunt a prendere visione del contenuto di una ricca credential stuffing list. Così sono chiamate le raccolte di credenziali di accesso ottenute come conseguenza di attacchi informatici e violazioni precedentemente messe a segno.

Gli elenchi che ospitano username e password altrui sono venduti sul “mercato nero” con il preciso obiettivo di consentire a utenti malintenzionati di accedere con le credenziali altrui ai vari servizi online. Poiché, ancora oggi, tanti utenti purtroppo condividono le stesse password tra più piattaforme, una credential stuffing list aggiornata diviene una risorsa preziosa e di gran valore per i criminali informatici. Scegliere una password sicura ed evitare di condividerla tra più servizi, è una delle regole di base. Usare l’autenticazione a due fattori (2FA) è un altro strumento utile per proteggersi. Qualche volta, però, può accadere che le password siano sottratte direttamente dai sistemi che dovrebbero proteggerle (ad esempio sui server delle piattaforme Web). In un altro articolo abbiamo infatti invitato i nostri lettori a chiedersi come i siti Web conservano le password.

La lista Naz.API: verificate se ci siete anche voi

L’amministratore di Have I been pwned osserva che la lista Naz.API contiene 319 file per un totale di 104 GB di dati. Questi oggetti ospitano, a loro volta, qualcosa come quasi 71 milioni di indirizzi email unici, insieme con una serie di password corrispondenti.

Questa volta la sottrazione dei dati sembra avvenuta sui sistemi dei singoli utenti. L’analisi svolta da Hunt ha permesso di accertare che questa pingue credential stuffing list è figlia dell’azione di malware che hanno rubato le credenziali da macchine infettate e compromesse.

Per approfondire ulteriormente l’incidente, Hunt ha contattato alcuni utenti di Have I been pwned per verificare l’attendibilità dei dati. Molti di loro hanno confermato che quelle indicate nell’elenco sono password effettivamente da loro usate per accedere a vari servizi online, attualmente o in passato.

Dal momento che si tratta di una lista che sembra nuova, non un collage di elenchi già abbondantemente in circolazione in passato, Hunt ha impostato il mail server di Have I been pwned per contattare i soggetti coinvolti e informarli circa la loro presenza nella credential stuffing list.

Data l’importanza della lista Naz.API, tutte le password rinvenute sono state incluse in Pwned Passwords, servizio gratuito che consente agli utenti di verificare se le loro password fossero state compromesse. Suggeriamo di controllare le password violate e insicure usando proprio Pwned Passwords perché – per ovvi motivi di sicurezza – esse sono completamente svincolate rispetto ai nomi utente corrispondenti.