Sono stato hackerato
Sarebbe meglio dire che sono stato violato, ma suonava male
27/10/2021
10 min.
Per chi ha poco tempo
Controlla se ti hanno rubato le mail e le password:
Utilizza Have I Been Pwned? o Firefox Monitor per scoprire se sei stato vittima di un hackeraggio.
Basta inserire la mail e ti verrà elencato quando e dove la tua mail e/o la tua password sono state rubate.
Apple offre monitoraggio continuo per tutte le password che salvi sul tuo Iphone/Ipad o sul tuo Mac. Nel caso, ti avverte che c'è qualcosa che non va e ti da pure dei consigli su cosa fare.
Oh no mi hanno fregato, che faccio?
Supponiamo che dal 2011 hai usato la tua mail "janedoe@gmail.com" e la tua indecifrabile password "PasswordCheUsoOvunque2010" per registrarti su vari siti: Facebook, Gmail, Messanger, Dropbox, ecc.
Ora scopri attraverso il tuo IPhone o Have I Been Pwned? o Firefox Monitor che Facebook è stato vittima di un attacco informatico nell'aprile 2021. Bene.
La prima cosa che dovrai fare è cambiare immediatamente la password di Facebook (si, anche se sono passati 10 anni) e non solo.
È (caldamente) consigliabile cambiare le password in tutti i siti in cui hai usato quella combinazione di mail e password.
Perché gli hacker fanno gli hacker
Suddividiamo in 2 categorie gli Hacker:
- Hacker "buoni" (detti White Hat Hacker) che violano i sistemi informatici delle aziende o dei governi per scovarne i punti deboli.
- Hacker "cattivi" (detti Black Hat Hacker) che sono mossi dai motivi più disparati: motivi economici, sociali, politici, e a volte per motivi di sfida personale;
Questi ultimi sono appunto i più pericolosi, perché se per esempio scovano il modo di intrufolarsi nei server di Facebook, non glielo vanno mica a dire. È compito di Facebook in questo caso, verificare che i propri sistemi siano sempre sicuri assoldando magari qualche White Hat Hacker.
Vi faccio un'esempio fresco fresco: recentemente è stata violato il sistema per la generazione dei Green Pass in Europa. Grazie a questa violazione, è possibile generare Green Pass validi e nuovi di zecca. Questo è già un problema noto e hanno già trovato una soluzione temporanea. Ma se non fosse noto? Chi ha rubato quella chiave potrebbe generare e vendere GreenPass ad un prezzo che decide lui e in totale anonimità (magari in Bitcoin).
Altri esempi potrebbero essere furti di identità, utili magari a inviare quelle bellissime mail di phishing che sembra che te l'ha inviata il tuo amico Bob ma in realtà ti pianta il computer e ti chiede una cifra in Bitcoin per sbloccarlo.
Potrei andare avanti all'infinito.
Come faccio a sapere se ho subito una violazione?
Il signor Troy Hunt un esperto di sicurezza informatica che ora lavora per Microsoft e il signor Firefox, un'azienda che si batte da sempre per fornire prodotti orientati sulla privacy, hanno creato 2 strumenti fantastici per sapere se siamo apparsi in qualche Data Breach Collection e/o se i nostri dati sono stati rubati in seguito a qualche attacco informatico noto in qualche sito in cui eravamo registrati al momento dell'attacco:
Come usare Have I Been Pwned?
- Accedi al sito
-
Digita la tua email e schiaccia invio
-
Se è tutto apposto salta direttamente alla sezione Come evitare sto casino
-
Se invece dovesse apparirti questo (è successo con una delle mie mail):
-
Capire in quali siti, oltre a quelli indicati, hai usato con quella mail;
-
Se sei finito in qualche Data Breach Collection allora passa direttamente al punto 4
- Per ogni sito ricordare che password hai utilizzato;
- Cambiare immediatamente le password
-
Firefox Monitor
Firefox Monitor fa parte dell'ecosistema Mozilla Firefox, e prende le informazioni da Have I Been Pwned?. Anche qui puoi inserire le tue mail per verificare eventuali violazioni e attivare il sistema di notifiche.
Ma se prende le informazioni da Have I Been Pwned? non conviene usare direttamente Have I Been Pwned? Si, ma se per esempio anche tu come me hai un account Firefox e usi il suo ecosistema (Firefox Lockwise per esempio), diventa tutto molto più comodo.
*@Data Breach Collection, che non è l'ultima Hit List Italia Summer Edition. Si tratta di una serie di file contenenti informazioni di utenti recuperate da ogni dove e condivise in ogni modo (Online, nel Deep Web, CD-ROM, Floppy Disk, ecc.) .
Queste Collection non sono troppo semplici da reperire ma non è così impossibile.
La Collection #1 per esempio, è una delle più grandi Collection conosciute, che contiene i miei dati (sul serio) più altri 773 milioni di email e 21 milioni di password univoci, forse c'è anche scritto se nella carbonara ci va il pecorino o il grana.
Ricordo che c'hanno fatto un servizio pure sul TG e io ne ero venuto a conoscenza giorni prima del servizio proprio grazie al sistema di notifiche di Have I Been Pwned?.
Come evitare sto casino
Ad ogni sito o App una password diversa
Lo so, è una rottura
Ogni volta che ti registri in un nuovo sito, dovresti usare una password complessa e salvarla nel tuo browser oppure in un Password Manager come LastPass.
Per generare password io per esempio uso questo sito.
Usa un browser sicuro!
Browser come Safari, Firefox, Microsoft Edge ti permettono di salvare le password in totale sicurezza, ne parlo più dettagliatamente qui: @Html.ActionLink("Dove salvare le password", "Articolo", "Blog", new { id = "dove-salvare-le-password" }, new { @class = "btn btn-primary" })
Se usi Android
Utilizza programmi come Microsoft Authenticator e permettigli di gestire le password.
Se usi Iphone
Iphone è già apposto. Salva le password quando ti chiede di farlo senza pensarci due volte.
Autenticazione a due fattori
Molti siti ormai mettono a disposizione l'autenticazione a due fattori (2 factor authentication).
Come funziona? Ogni volta che accederai al sito dove l'hai attivata, questo ti chiederà un codice che solo un'applicazione sul tuo telefono personale può generare. Quindi oltre alla password, l'hacker dovrebbe essere a conoscenza anche di questo codice, che normalmente si autodistrugge ogni 30 secondi e si rigenera.
Qui una lista di applicazioni per l'autenticazione a 2 fattori.
