Decine di milioni di credenziali di accesso online sono state compromesse in una massiccia fuga di dati, con gli utenti Gmail che corrono il rischio più elevato.
L’esposizione è stata scoperta dal ricercatore di sicurezza informatica Jeremiah Fowler, che ha scoperto un database di 149 milioni di credenziali compromesse.
“Ho visto migliaia di file che includevano e-mail, nomi utente, password e collegamenti URL per l’accesso o l’autorizzazione per gli account”, ha condiviso Fowler nel rapporto.
Il lotto più grande di credenziali rubate proveniva da Gmail, con circa 48 milioni, seguito da Facebook con 17 milioni, 6,5 milioni erano collegati Instagramquattro milioni da Yahoo Mail, Netflix le credenziali ammontavano a circa 3,4 milioni e quelle provenienti da Outlook erano 1,5 milioni.
Altre informazioni di accesso degne di nota erano collegate a iCoud, .edu, TikTok, Solo fan e Binance.
“I documenti esposti includevano nomi utente e password raccolti da vittime in tutto il mondo, che abbracciavano una vasta gamma di servizi online comunemente utilizzati e su qualsiasi tipo di account immaginabile,” ha condiviso Fowler in un post sul blog.
Il database è stato lasciato apertamente esposto online, il che significa che chiunque lo trovasse potrebbe accedere alle credenziali di milioni di persone in tutto il mondo.
Fowler ha osservato che chiunque sospetti che il proprio dispositivo possa essere infetto da malware dovrebbe agire rapidamente aggiornando il proprio sistema operativo, installando o aggiornando software di sicurezza ed effettuando la scansione per individuare attività sospette o dannose.
Gli utenti dovrebbero anche rivedere le autorizzazioni, le impostazioni e i programmi installati delle app e scaricare solo app o estensioni dagli app store ufficiali, ha aggiunto.
Il set di dati esposto includeva 149 milioni di credenziali di accesso, la maggior parte appartenenti a utenti Gmail
Un portavoce di Google ha dichiarato al Daily Mail: “Siamo a conoscenza di segnalazioni riguardanti un set di dati contenente un’ampia gamma di credenziali, comprese alcune di Gmail.
“Questi dati rappresentano una raccolta di registri di ‘infostealer’, credenziali raccolte da dispositivi personali da malware di terze parti, che sono state aggregate nel tempo.
“Monitoriamo continuamente questo tipo di attività esterna e disponiamo di protezioni automatizzate che bloccano gli account e impongono la reimpostazione delle password quando identifichiamo credenziali esposte.”
Hanno inoltre notato che non si tratta di una nuova violazione, ma che il database ha raccolto in un unico posto le credenziali compromesse esistenti.
Fowler ha affermato di aver visto una serie di piattaforme di social media nella fuga di dati, insieme a siti di incontri.
“Ho visto anche un gran numero di account di streaming e intrattenimento, tra cui Netflix, HBOmax, DisneyPlus, Roblox e altri”, ha condiviso nel rapporto.
“Nel campione limitato di documenti che ho esaminato sono comparsi anche conti di servizi finanziari, portafogli crittografici o conti di trading, accessi bancari e di carte di credito.”
L’esperto di cybersecurity non è riuscito a risalire al proprietario del database, ma è riuscito a sospendere l’host dopo un mese di lavoro, portando offline tutte le credenziali.
Il lotto più grande di credenziali rubate proveniva da Gmail, con circa 48 milioni
“Non si sa per quanto tempo il database sia stato esposto prima che io lo scoprissi e lo segnalassi o che altri potessero avere accesso ad esso”, ha detto Fowler.
“Un fatto inquietante è che il numero di record è aumentato dal momento in cui ho scoperto il database fino a quando non è stato limitato e non è più disponibile.”
Il database sembrava contenere informazioni raccolte tramite keylogging e malware “infostealer”, ovvero un software che ruba segretamente nomi utente e password dai dispositivi infetti.
A differenza di dati malware simili visti in precedenza, questo database ha anche registrato dettagli aggiuntivi sulla provenienza delle informazioni rubate. Ha organizzato i dati utilizzando il nome di un computer o di un sito Web inverso, il che ha contribuito a ordinare ordinatamente le credenziali rubate per vittima e fonte.
Questo formato potrebbe essere stato utilizzato anche per evitare semplici controlli di sicurezza che cercano normali indirizzi di siti Web.
A ogni voce rubata è stato assegnato un identificatore digitale univoco, assicurandosi che nessun record fosse duplicato. Una revisione limitata ha confermato che ogni record è apparso solo una volta.
“Poiché i dati includono e-mail, nomi utente, password e gli esatti URL di accesso, i criminali potrebbero potenzialmente automatizzare attacchi di credential stuffing contro account esposti, inclusi e-mail, servizi finanziari, social network, sistemi aziendali e altro ancora”, ha affermato Fowler.
“Ciò aumenta notevolmente la probabilità di frode, potenziale furto di identità, crimini finanziari e campagne di phishing che potrebbero apparire legittime perché fanno riferimento a conti e servizi reali.”
