Sul Dark Web sono in vendita le informazioni degli utenti di 16 note app e servizi quali Dubsmash e MyFitnessPal. Lo riferisce il sito The Register spiegando che un venditore su “Dream Market”, un marketplace del dark web, sta offrendo dettagli relativi ai login di oltre 617 milioni di account. Il prezzo di vendita è di 20.000$, pagabili in BitCoin.
Dubsmash è un’app per Android e iOS che consente di abbinare un video (in forma di selfie o meno) con l’audio di canzoni famose, versi di animali, frasi recitate e altri suoni; MyFitnessPal è un conta calorie veloce e facile da usare indicato sul Play Store di Google come “il più grande database di alimenti di qualsiasi conta calorie Android”.
Il venditore sul dark web afferma che il database di diversi gigabyte include nome utente, indirizzi mail e password di account di vari siti e app note. Oltre a quelli già citati, servizi/app incriminati sono quelli di MyHeritage, ShareThis, HauteLook, Animoto, EyeEm, 8fit, Whitepages, Fotolog, 500px, Armor Games, BookMate, Coffee Meets Bagel, Artsy e DataCamp.
Tra i dati inclusi anche quelli di Coffee Meets Bagel, app di incontri che mette in comunicazione utenti interessanti ai cosiddetti “blind match” nella stessa città o nelle vicinanze. Quest’ultimo servizio già altre volte è stato accusato di sistemi di sicurezza inadeguati, informando gli utenti di data breach (violazioni di dati personali da parte di terze parti).
Molte delle password vendute da chi propone questi archivi sul dark web sono cifrate con meccanismi di hashing e chi acquista i database illegali dovrà in qualche modo cercare di decifrarle. Come sempre il problema è che molti utenti tendano a usare la stessa password per diversi servizi online.
Se gli hacker scoprono che la password usata su uno dei servizi prima indicati, risulta essere la stessa per altre pagina web a cui un utente è iscritto, cercheranno di sfruttarla per accedere ai servizi internet più noti come Facebook e Gmail, compromettendo più account allo stesso tempo.
Come proteggersi
Le regole per essere al sicuro sono quelle che abbiamo descritto in diverse occasioni: non usate la stessa password per più siti, usate password lunghe, robuste (non facili da individuare). Sui siti e servizi che lo consentono, attivate sempre l’autenticazione a due fattori, una funzione progettata per assicurare che solo noi possiamo accedere al nostro account, anche se qualcun altro individua la nostra password.
Come verificare se il vostro è tra gli account in pericolo
Per verificare se il proprio indirizzo email è uno tra quelli incluso nei vari database hackerati, è possibile visitare il sito Have I Been Pwned? Questo sito permette di controllare se la vostra email o username sono stati compromessi in una violazione (nota) di dati e i servizi che erano legati all’account.