Un ”data breach” è una violazione dei dati personali di un utente come quelli ricavabili da una email o da siti internet. Attraverso una violazione della sicurezza di un sistema, i data breach possono comportare l’accesso o la divulgazione non autorizzata di dati personali, dati sensibili o credenziali d’accesso. Queste informazioni possono essere condivise sul mercato nero o diventare di dominio pubblico.
Databreached è un database italiano che permette di controllare se il proprio account email è stato compromesso in un data breach di servizi online italiani la cui violazione è stata resa pubblica. Anche se esistono già altri servizi che permettono di controllare la sicurezza dei propri account, il valore aggiunto di questo progetto è quello di provare ad aumentare la consapevolezza su questi temi nel nostro paese.
Videos by VICE
Proprio per questo, il sito comprende spiegazioni molto esaurienti dei concetti legati al data breach, una pagina per segnalare altri breach, una lista dei servizi che sono stati violati — che partendo dai casi più famosi come la violazione del sito di Libero e quello della Lega, scende così nel dettaglio fino a includere violazioni di siti di incontri per scambisti e siti di rubinetterie — e sopratutto è molto facile da usare. Dalla home, infatti, è possibile inserire il proprio indirizzo email per verificare se è incluso tra i 3.461.424 di indirizzi email italiani e nei 76 data breach italiani in cui va a pescare il database. Il sito inoltre ha il pregio di essere orientato alla privacy in ogni aspetto possibile, ad esempio, non memorizza le email di chi fa la ricerca per scoprire se il suo indirizzo è stato violato e non usa nessun tipo di cookie.
Ho parlato del progetto su Telegram con i due creatori Lorenzo e Davide. ”L’idea c’era da molto tempo, ma è diventata più concreta dopo gli attacchi di Anonymous del 5 novembre e dopo l’attacco ai server delle PEC italiane di qualche settimana fa. Molte infrastrutture critiche italiane sono ridotte al punto da cadere per mano di collettivi dalla dubbia capacità tecnica, e questo la dice lunga sull’approccio e il valore che viene dato oggi all’information security in questo paese. Speriamo che tramite questo servizio i singoli possano verificare l’impatto di questo problema, sensibilizzando verso il tema gli incerti,” mi hanno spiegato.
Per quanto riguarda i servizi simili già disponibili online mi hanno spiegato che ”HIBP (Have I Been Pwned?) di Troy Hunt è comunque troppo modesto in confronto alla quantità di breach che emergono giornalmente. Tanto è vero che ultimamente i grossi database dump aggiunti al servizio sono inseriti in blocco o come “paste”, senza nominare i singoli servizi compromessi. Ad un utente che cerca la propria email viene quindi riferito che si trova in un non precisato leak di 2844 database, senza sapere però lo specifico servizio al quale era iscritto che è stato compromesso. Per dare un’idea, il 95 percento dei database presenti su databreached non sono per nulla nuovi. Un gran numero di questi proviene da azioni dei collettivi hacktivist, altri circolano in rete da anni su forum dedicati al tema e altri ancora non emergono mai.”
Riguardo gli sviluppi futuri del progetto, i due sviluppatori mi hanno spiegato che ”il servizio è stato lanciato solamente ieri ma abbiamo già avuto un forte sostegno dalla comunità infosec italiana. Diversi professionisti e ricercatori indipendenti si sono attivati per inviarci database su cui hanno lavorato. Domani o dopodomani aggiungeremo altri 10 database e dovremmo toccare i 4 milioni di indirizzi.”
Prima di salutarci, ho chiesto a Lorenzo e Davide se hanno dei consigli per i lettori e mi hanno risposto che ”The only secure password is the one you can’t remember” è un mantra e va applicato. In breve, usate un password manager. Questo articolo di Troy Hunt spiega qualcosa che dovremmo applicare tutti che limiterebbe di molto l’impatto delle data breach sui singoli, ma che in pochi fanno.”
Segui Federico su Twitter: @spaghettikraut