Mentre Italiaonline ha comunicato un progressivo ritorno alla normalità dei servizi Libero Mail e Virgilio Mail, su un canale Telegram è stato pubblicato un data leak di 500mila account. Ma il furto di dati non sembra essere correlato al disservizio che dal 22 gennaio blocca le caselle di posta di milioni di italiani.
Iniziamo nel capire la differenza tra Data Breach e Data Leak: possiamo definire data breach la perdita di login e password che avviene per un attacco dall’esterno, mentre data leakage è una perdita di dati e file per un’attività dall’interno, come il furto di un documento contrattuale che potrà essere usato per i propri scopi, ma difficilmente permetterà di fornire le credenziali per entrare in un’azienda.
Tornando alla vicenda, da alcuni giorni Italiaonline ha comunicato che è in corso un progressivo ritorno alla normalità dei due servizi di posta elettronica e tutte le caselle torneranno pienamente attive.
Intanto, però, sfruttando l’indisponibilità della posta elettronica di Libero, è stato fatto circolare in Rete un archivio di combo relative ad elenchi email e password basate sul dominio “@libero.it”, che evidentemente può generare rischi di furti di identità.
Al momento, l’unica certezza confermata anche dalla stessa Italiaonline è che il disservizio di Libero Mail e Virgilio Mail non è stato causato da un attacco informatico.
Questo scenario ha però fornito le basi per piccoli gruppi malevoli che su Telegram hanno diffuso vecchi data leak che già da tempo occupano le pagine di forums underground.
Il file, che come detto non è nuovo, ma è stato ripreso e ri-condiviso a seguito del disservizio, cavalcando l'attenzione creata, contiene oltre 573.000 email di Libero, accoppiate ad una password, in chiaro.
Le combo che vengono collezionate per vendita illegale, tra gruppi criminali, al fine di generare altre frodi informatiche mirate.
Sull’origine del data leak non vi sono informazioni certe: le credenziali potrebbero essere state rubate tramite attività di phishing di utenti Twitter con email Libero; oppure estratti tramite tecniche di SQL Injection, operate su siti Web locali non concepiti secondo le basilari regole di sicurezza informatica.
Analizzando questo leak si è potuto notare che di questa lista molte email sono state utilizzate per iscriversi a servizi differenti, come per esempio Twitter e, purtroppo, alcune di queste iscrizioni sono state effettuate utilizzando la medesima password riportata nel leak, quindi appartenente (presumibilmente) ad altro servizio Web.
Questo denota un problema comune e molto diffuso, che dovrebbe richiamare l’attenzione degli utenti: l’utilizzo di password uguali su diversi servizi.
Tale pratica è fortemente insicura e sconsigliata.
Oltre a concentrarci sulla robustezza della password scelta, evitiamo di utilizzare la medesima per servizi differenti, per ridurre il più possibile il rischio di frodi connesse ad eventuali furti che possono incorrere su queste credenziali.
Il danno, a seconda del servizio che viene scoperto, può essere notevole e portare a spiacevoli inconvenienti.
Inoltre, attivare sempre, dove possibile l’autenticazione multi fattore, è una buona strada.
