Giovedì 4 luglio, un utente anonimo ha allertato la comunità degli esperti di sicurezza informatica rivelando l’esistenza di un archivio con quasi 10 miliardi di password rubate. Non c’è voluto molto prima che gli analisti di Cybernews identificassero il file in questione: “RockYou2024.txt” è una raccolta di password provenienti da un elevato numero di data breach – alcuni recenti, mentre altri più datati.
I numeri da record di RockYou2024.txt
Per la precisione, il file include 9.948.575.739 voci. Non significa che di recente siano stati violati così tanti siti da arrivare rapidamente ad un simile bottino: è pressoché certo che la lista altro sia un collage di più archivi, tutti provenienti da violazioni dei dati più o meno recenti.
In genere questi archivi circolano in numerosi forum dedicati all’hacking (non necessariamente sul cosiddetto dark web) e su Telegram, dove vengono distribuiti gratuitamente o a pagamento. Archivi così estesi possono facilitare il furto di account: sia perché le liste spesso contengono anche le credenziali associate a ciascuna password, sia perché è possibile usarli per attacchi brute force (cioè l’uso di software che tentano milioni di combinazioni diverse, fino ad individuare la password di un account).
Si tratta del leak più grande della storia. Il precedente record era detenuto da un file con un nome molto simile: RockYou2021, che conteneva oltre 1 miliardo di password in meno (8.459.060.239).
Come verificare se i tuoi dati fanno parte di RockYou2024.txt
E’ estremamente possibile che all’interno del file ci siano anche le tue password. Non è necessario che le password ti siano state rubate direttamente (ad esempio compromettendo il tuo smartphone o computer), ma è sufficiente che gli hacker siano riusciti a violare anche solo uno dei numerosi siti a cui ti sei iscritto nel corso degli anni.
Per evitare che un data breach possa portare al furto dei tuoi account, esistono alcune buone pratiche che possono aiutarti a migliorare la tua sicurezza. La prima, e forse la più importante, è quella di non usare mai la stessa password su siti diversi. Sarebbe opportuno usare una password diversa per ciascun sito e app. In questo puoi aiutarti utilizzando uno dei tanti password manager che consente di generare automaticamente password estremamente robuste (in genere sono sequenze casuali e molto estese di lettere, simboli e numeri).
Un’altra buona pratica è quella di attivare sempre la cosiddetta autenticazione a due fattori (2FA), possibilmente usando un’applicazione che genera OTP (mentre usare il proprio numero di telefono è molto meno sicuro, a causa di un tipo di attacco noto con il nome SIM Swapping).
Tornando a RockYou2024.txt, fortunatamente è possibile verificare se i tuoi dati sono stati compromessi utilizzando alcuni servizi specializzati. Tra questi, il più famoso è Have I Been Pwned, che ti avviserà se il tuo indirizzo email è comparto in un data leak. Da alcuni anni, Google ha integrato un servizio simile all’interno di Google Chrome.