Qualche tempo fa mi è arrivata l’ennesima e-mail truffa, questa volta di quelle che “so qual è la tua password”, con una password che non uso tipo dal 2016.
Non mi spavento, come dicevo la password è vecchia e conosco la truffa, ma voglio indagare: chi ha leakato la mia password? Nella ricerca, ho trovato alcuni siti interessanti che vorrei indicarvi se mai voleste indagare su dei leak o, in generale
Un’avvertenza!
Il modo più sicuro per sapere se una password è stata violata è tramite l’email o lo username, non la password stessa. La ragione è semplice: ci vuole poco a creare un sito falso che ti chiede la password, ti dice che va tutto bene e intanto se la registra, magari proponendovi di inserire l’email per ricevere notifiche di eventuali violazioni.
In ogni caso esistono alcuni siti di indubbia reputazione che offrono questo servizio, e ve ne linkerò uno. Alle volte, se avete dimenticato l’email o non avete più accesso ad essa, è l’unica via…
Per di più, il sito che vi linkerò, non ha nemmeno dentro la mia password violata, quindi… come dicevo, meglio l’email.
Avast
La nota compagnia di antivirus Avast offre un servizio che, inserendo un’email, invia all’indirizzo un riassunto dei leak collegati all’email, con link ad un rapporto approfondito. Tale rapporto non contiene le password violate, ma varie informazioni dettagliate sul tipo di violazione, sulla data e sugli avvenimenti.
F-Secure
Anche la nota compagnia F-Secure offre un servizio analogo, che vi invia direttamente nell’email un rapporto. Tale rapporto è un po’ meno approfondito in termini di informazioni rispetto a quello Avast, ad esempio non distingue tra password hashate o meno, inoltre include anche altri tipi di leak, ad esempio di informazioni personali.
Have I Been Pwned
Have I Been Pwned nasce come servizio dove, inserendo un’email, si ricevono informazioni su un eventuale leak, in un rapporto mediamente dettagliato (tra Avast e F-Secure, diciamo): da qualche anno hanno anche un servizio dove, inserendo una password, si possono avere informazioni su eventuali violazioni di essa.
I due servizi, se usati assieme, possono dare delle buone informazioni, ma gli archivi non sembrano dei migliori, specie per il secondo servizio: la mia password violata, ad esempio, per HIBP non lo era.
Scattered Secrets
Scattered Secrets vi richiede di registrarvi prima di ricevere qualsiasi informazione di rilievo, ma la registrazione vale la pena: avrete poi accesso ad una dashboard che vi dice quante violazioni risultano relative al vostro indirizzo, e cosa rara vi dirà anche quale password è stata leakata.
Il database ha, al momento in cui scrivo questo articolo, più di 3000 archivi con più di 5 miliardi di password. Mica male, non a caso è stato un servizio essenziale nell’indagine.
Lo apprezzo particolarmente perché è un servizio senza troppe seghe mentali: i servizi degli antivirus, ovviamente, tendono a volervi vendere qualche servizio della casa madre, così includono anche vari leak relativamente “indifferenti”, così HIBP è sponsorizzato da un password manager, mentre questo servizio ha un proprio sistema a pagamento, utilizzabile ad esempio da organizzazioni per essere avvisate immediatamente in caso di violazione, e quindi il servizio gratis è molto diretto: vi registrate e vedete solo le violazioni effettive della password, non un leak in SHA256 hashato o un leak del vostro username, ecco.
La mia indagine…
Il primo servizio che ho usato è stato HIBP in versione classica, che mi ha detto in quali violazioni era stata coinvolta la mia e-mail: in questa indagine la mia e-mail era elemento importante, dato che ho ricevuto lì la truffa, in altri casi può esserlo meno. Tuttavia, non dicendomi la password, era relativamente utile, visto che non mi diceva la password e, ovviamente, ne uso di diverse, ma ovviamente se parliamo di leak del 2016 non ricordo dove usavo quale.
È stato Scattered Secrets a darmi l’informazione rilevante: risultavano due password sull’account: una provvisoria di un sito di genealogia, che era stata cambiata tempo addietro, e quella. Il colpevole, per chi fosse interessato, è Bit.ly: il noto URL shortener venne violato anni addietro, non è ben chiaro se le password vennero rilasciate hashate, criptate o semplicemente in plaintext, ma in ogni caso all’epoca del leak era già una password deboluccia, quindi è anche probabile che sia stata decriptata dopo.
Alla fine, era una password settata tipo nel 2012, quando era ancora una password decente, quindi l’errore è stato dimenticarsi di un servizio.
