Come capire se una email è stata hackerata
Have I Been Pwned (HIBP) è un sito gratuito, il cui scopo è quello di rintracciare le violazioni delle email, verificarle, avvisare da quale piattaforma è stato trafugato l’indirizzo email e dartene notizia immediata.
Al suo interno trovi delle statistiche delle violazioni più grandi e le violazioni più recenti, molto interessanti e sempre aggiornate.
È utile controllare le violazioni informatiche per sapere se anche i nostri dati sono stati violati o meno. Tuttavia, saperlo non significa essere protetti.
Ecco perché ti consiglio questo sito per fare un check generale.
.
A cosa serve consultare il sito Have I Been pwned?
- indirizzi email
- numeri di telefono
- indirizzi email di un dominio
- password rubate
- indirizzo IP
- dati personali
- dati finanziari
I truffatori usano tutti questi dati per trarne vantaggio. Usare questo sito, significa mettersi al riparo da guai più grandi.
Cosa vuol dire pwned?
“Have I Been Pwned” è una frase in inglese che è entrata nel linguaggio comune per dire “Sono stato compromesso” o “Sono stato violato”.
La curiosità è che Troy Hunt, il suo inventore, influenzato dalla cultura dei videogiochi, voleva scrivere la parola “owned”, e per un errore di digitazione, divenne pwned.
Negli anni “pwned” è entrato nel linguaggio degli addetti ai lavori, per definire una violazione avvenuta in internet.
Cosa vuol dire account violato?
Account violato, significa che non è più sicuro, poiché qualcuno è riuscito a ottenerne l’accesso non autorizzato e entrare nell’account.
In questo caso verrebbe a contatto con tutto ciò che c’è al suo interno, ottenendo informazioni sensibili e compromettendo la privacy.
Come viene violato un account? Ci sono tecniche di hacking che sfruttano vulnerabilità dei sistemi di sicurezza, che di password deboli.
Un grave errore, ad esempio, è utilizzare la stessa password su tutti gli account. Se viene violata, tutti gli account sono in pericolo.
Se sospetti che ti sia successo, per proteggere l’account, cambia immediatamente la password e attiva l’autenticazione a due fattori, se possibile.
Come funziona Have i been pwned
Have i been pwned è sicuro, e basta digitare, l’indirizzo l’e-mail, nella stringa della pagina iniziale. Entro pochissimi secondi, cercherà i dati violati e ti avvisa con un “Oh – no – pwned!” se sono stati violati.
Se il dato non è stato violato, ti conferma con un Good news — no pwnage found! No breached accounts and no pastes (subscribe to search sensitive breaches).
Il sito offre anche un form di iscrizione per tenere monitorata una email e crea un avviso, nel caso dovesse subire un data breach.
Sappi comunque che solo perché il tuo indirizzo email non è stato trovato qui non significa che non sia stato compromesso in un’altra violazione.
Trovo questo sito molto utile per fare una verifica globale su tutti gli account attivi.
Se decidi di iscriverti per conoscere ulteriori violazioni, sappi che il servizio è totalmente gratuito ed è gestito da Troy Hunt, un esperto di sicurezza informatica per Microsoft.
Le password degli utenti sono archiviate in Have i been pwned?
Il sito non memorizza ciò che inserisci per un controllo. Il servizio Pwned Passwords consente di verificare se una specifica password è stata precedentemente rilevata in una violazione di dati. Nessuna password viene conservata insieme ai dati personali identificabili, come ad esempio un indirizzo email, e ogni password è associata a un hash SHA-1.
Come viene compromessa una password?
La tecnica si chiama credential stuffing (letteralmente “riempimento delle credenziali”). Nel dark web sono venduti i dati sottratti online, sottoforma di archivi, ad esempio di password rubate. Con questi archivi, si esegue l’iniezione automatica delle coppie di username/password su altri siti e servizi che non hanno subito intrusioni.
Questo attacco ha spesso successo dal momento che le persone utilizzano spesso le stesse password su account e piattaforme diverse. Ricordo che anche Mark Zuckerberg, lo ha fatto. Per dire che è una terribile e diffusissima abitudine.
Questo è uno schema di come avviene di credential stuffing:
prima fase – riuso delle stesse password in servizi diversi
seconda fase – messa in pratica del credential stuffing con il riempimento delle credenziali in archivio
terza fase – acquisizione dell’account
quarta fase – furto d’identità che significa che qualcuno online sta usando il tuo nome, cognome e altri dati per compire illeciti, da cui ti dovrai difendere.
Come vedere se le password sono compromesse?
Hane i been pwned ha creato due pagine separate: una per la verifica delle email e una per la verifica delle password.
Una prima raccomandazione è quella di non salvare le password nel browser. So che è comodo, ma è rischioso.
Controlla la tua password su Pwaned Password, servizio gratuito per verificare se una password è entrata nel database del dark web.
Purtroppo gli hacker sfruttano tutta la nostra pigrizia: dall’uso della stessa password, alla memorizzazione di email e password nel browser, che sono facilmente sottraibili con trojan e malware.
Inoltre, chiunque entri in possesso del vostro computer portatile o smartphone, può entrare in tutti i servizi per i quali Firefox, Chrome hanno conservato i dettagli di accesso.
Ecco perché consiglio vivamente di lavorare con una cassaforte di password.
Oltre a questo, c’è un sito sempre creato da Troy Hunt, per controllare le password rubate.
Cosa fare se l’email è stata violata?
Modifica subito la password e di conseguenza tutte le password che hai utilizzato più di una volta.
Ti consiglio vivamente di utilizzare un gestore di password, per assegnare una password forte e diversa per ogni account.
Come è nato Have i been pwned?
Il sito gratuito Have I Been Pwned è ideato e lanciato nel 2013 da Troy Hunt, un esperto di sicurezza informatica e sviluppatore web. L’obiettivo del sito è quello di dare in modo molto semplice, la possibilità agli utenti, di per verificare se le proprie credenziali (indirizzi email, password, numeri di telefono) sono stati violati online.
Haveibeenpwned italiano è un sito sicuro.
Hunt vuole aumentare la consapevolezza sulla sicurezza online e incoraggiare le persone ad utilizzare password uniche e forti.
Have i been pwned raccoglie informazioni da diverse violazioni di dati e con cui è possibile verificare se nelle violazioni, sono finite le proprie credenziali.
Negli anni, il sito è diventato uno strumento ampiamente utilizzato per verificare la sicurezza delle credenziali online e continua a sensibilizzare l’opinione pubblica sulla necessità di proteggere le informazioni personali online.