Milioni di password violate si trovano sul Web

Continui attacchi informatici hanno permesso ad alcuni black-hat di pubblicare sul Web miliardi di codici d’accesso. E se ci fosse anche il tuo?

Due per l’esattezza sono gli archivi pubblicati nel Clear Web contenenti milioni di account rubati con relativi indirizzi mail e password. Periodicamente vengono effettuati, da parte di hacker, attacchi che mirano ad ottenere più credenziali possibili e metterli in vendita nel Deep Web. Questa volta però è andata diversamente. Qualche mese fa infatti, sono stati pubblicati su Mega (https://mega.nz/), noto servizio di file sharing, alcuni archivi contenenti al loro interno tonnellate di dati sensibili e la probabilità che al loro interno siano presenti anche i nostri sono davvero alte. Per l’esattezza, gli archivi pubblicati sono stati due: Collection #1, contenente 773 milioni di indirizzi e-mail e Collection #2-5, con 2,2 miliardi di indirizzi e che secondo il CEO di Phosphorus.io, Chris Rouland “Si tratta del breach più grande mai visto”.

Le password violate sono a un clic da te

Tra gli archivi, che è possibile scaricare tramite un semplice client Torrent, troviamo credenziali rubate addirittura anni fa e inerenti a determinati siti Web, come Yahoo!, Dropbox e LinkedIn ma, dei 2,2 miliardi di indirizzi contenuti in Collection #2-5, ben 750 milioni sono del tutto “nuovi”.
I vari archivi sono stati scaricati più di mille volte, con il pericolo che gli hacker si affidino al cosiddetto credential stuffing, ovvero una tecnica che sfrutta strumenti di automatizzazione Web per tentare l’accesso a più siti Internet inserendo tutte le possibili coppie username/password.
Nel seguente articolo andiamo a scoprire come gli smanettoni entrano in possesso dei vari archivi per scoprire se anche la loro password è stata violata.

Attenzione a non passare i guai

Teniamo a precisare che la legge parla chiaro: accedere ad un servizio informatico con le credenziali di un’altra persona senza il suo consenso è reato. Per l’esattezza: “La legge punisce con la reclusione fino a tre anni (a meno che non si rientri in una di quelle ipotesi caratterizzate da maggiore gravità specificate dal legislatore) colui che abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza (come appunto la password) ovvero vi si mantiene contro la volontà di chi ha il diritto di escluderlo”. Quindi occhio a quel che si fa!!!

Come scaricare il database di password

In pochi passi è possibile scovare il file contenente gli indirizzi mail e le password rubate. Bastano BitTorrent e Bit Che per effettuare la ricerca e il download.

1. Password sulla rete torrent
Lo smanettone si reca sul Web e scarica il client torrent, denominato BitTorrent da https://www.bittorrent.com/it/downloads/complete/classic/. Terminato il download, avvia il file di setup facendoci doppio clic e attende l’apertura dell’installer.

2. Il software che aspira
A questo punto clicca sul pulsante Next/Next/Agree dopodiché toglie la spunta sulla voce Install Opera browser e clicca su Next. In seguito clicca su Decline per evitare di installare Avast Antivirus, clicca poi su Next, ancora Next ed attende che l’installazione avvenga con successo. A questo punto lo smanettone è pronto per iniziare a scaricare i torrent desiderati.

3. Il motore di ricerca Bit Che
È giunto il momento di scaricare il programma Bit Che, che permette di cercare i file torrent tra decine e decine di siti. Sulla pagina http://bit.ly/torrentche si clicca sul pulsante rosso Download Now per scaricare il file setup. Dopodiché si avvia l’installer, si clicca su Avanti accettando i termini di contratto, e poi ancora su Avanti altre 4 volte. Al termine dell’installazione si clicca su Fine.

4. Aggiornare gli script di ricerca
Al primo avvio di Bit Che, il pirata seleziona la lingua e clicca su Ok. A questo punto, va ad aggiornare tutti i pacchetti script, ovvero informazioni utili che, se aggiornate portano ad ottenere migliori risultati di ricerca dei file torrent. Per far ciò ci si reca su Pacchetti Script/Aggiorna scripts/Aggiorna e si clicca su Fatto. Sulla sinistra inoltre, si selezioneranno tutti i siti in cui Bit Che dovrà andare a ricercare il file richiesto.

5. Ricerca del database delle pass
Una volta selezionati i siti su cui fare la ricerca, lo smanettone va su Opzioni/Mostra gli scripts per togliere la lista. Ora nella barra di ricerca inserisce le parole chiave utili a ricercare il file incriminato, come Collection #. Conclusa la ricerca, ecco apparire la lista. Lo smanettone scarica il tutto selezionandolo col pulsante destro e cliccando su Apri Magnet, per avviarlo su BitTorrent.

6. Password trovate e scaricate!
Si apre così BitTorrent mostrando in bella vista la serie di file zip da scaricare con all’interno le password hackerate. Si decide poi se scaricare uno o più file e infine si clicca su OK. Terminato il download, i file .zip vengono decompressi con il programma 7-zip (https://www.7-zip.org) e aperti. Lo smanettone infine, clicca sul Blocco Note scaricato per avere accesso alla nota lista.

Ed ecco tutte le credenziali (login e password) mostrate in chiaro.