Password e data breach: come proteggere i dati su Internet?

Non c’è cosa più preziosa dei nostri dati quando navighiamo su Internet: email, username, password o anche dati più sensibili, come indirizzo, età, e informazioni finanziarie. Da quando navighiamo in rete, abbiamo imparato a convivere con tutte le responsabilità dovute al maneggiare così tanti dati quando usiamo i vari servizi online.

Di base ormai quasi tutti noi seguiamo i consigli base per usare il computer in sicurezza:

 

  • Avere un antivirus attivo
  • Tenere il sistema operativo sempre aggiornato
  • Effettuare transazioni economiche solo su siti protetti dall’HTTPS (lucchetto verde)
  • Mai cliccare su link o aprire allegati di email inviate da sconosciuti
  • Non condividere le proprie password con nessuno
  • Archiviare le proprie password in modo sicuro per poi averle sempre a portata di click

 

Eppure, i rischi sono sempre dietro l’angolo. Non parliamo solo di phishing, ovvero di tutti quei tentativi (via email, SMS o anche chiamata telefonica) effettuati per sottrarci dati personali. Più o meno, riusciamo a riconoscere il phishing: si tratta di email o messaggi inviati da contatti sconosciuti, che ci chiedono di cliccare su dei link oppure di scaricare dei documenti allegati (e per convincerci cercano di creare un finto senso di urgenza).

E riconoscendo i tentativi di phishing, possiamo così evitarli. Esistono però delle tipologie di attacco dalle quali noi non possiamo difenderci, perché non siamo noi le vittime (principali). Stiamo parlando dei data breach: ne avete mai sentito parlare?

 

Cosa è un data breach?

 

Un data breach non è altro che una rapina 2.0: se nel mondo reale gli obiettivi sono di solito le banche, nel mondo virtuale sono i server di grosse aziende e servizi online. Il bottino? Niente più denaro sonante, bensì i dati personali degli utenti registrati presso i servizi e piattaforme prese di mira. Ogni tipo di società, se presente su Internet, può diventare un target degli hacker (anche società pubbliche o legate a enti governativi).

Tra i data breach più grandi, ci sono quelli avvenuti ai danni di Yahoo, Facebook, Twitter, LinkedIn, MySpace, eBay, MyFitness Pal (un’app di fitness del marchio Under Armour), Marriott Hotels (famosa catena di alberghi americana), e la lista potrebbe andare avanti all’infinito.

Capire come avviene un data breach non è facile: spesso l’ingegneria sociale è la causa di un data breach, dove i malintenzionati impersonano qualcuno per ottenere credenziali di accesso ad account aziendali, server o altri servizi interni di un’azienda (e da lì poi arrivare ai server centrali). In altri casi, il data breach avviene tramite email di phishing: basta che un solo dipendente clicchi sul link sbagliato, per attivare un malware sul proprio PC aziendale (connesso poi alla rete aziendale). Gli hacker hanno mezzi praticamente infiniti e cambiano spesso le loro tattiche.

La cosa peggiore è che spesso le società vittima di data breach non se ne accorgono. A volte capita che passino anni prima che vengano scoperti ingressi non autorizzati nei server aziendali. In altri casi, lo si scopre solo quando vengono pubblicate le liste dei dati rubati a un’azienda su un qualche forum nel dark web (l’internet “sommerso” dove spesso vengono comprati e venduti dati rubati). Ma anche quando le società si accorgono subito di essere state vittime di un data breach, c’è poco che possano fare: ormai i dati rubati sono stati sottratti per sempre.

Come capire se si è vittima di un data breach?

 

Niente panico: nella maggior parte dei casi, i dati sottratti dai malintenzionati sono più o meno sensibili (di solito si tratta di username, indirizzi email, nome e cognome, età e a volte anche il numero di telefono). Nel peggiore dei casi, i dati sottratti sono password del proprio account oppure dati finanziari (ma questi casi sono sempre più rari). Nonostante ciò, non bisogna mai sottovalutare il furto di dati, anche se si tratta di informazioni secondarie.

Innanzitutto, per prendere delle contromisure, bisogna scoprire di essere rientrati tra le “vittime” di un data breach. In Italia, per legge le aziende che subiscono un data breach hanno 72 ore di tempo dalla scoperta per comunicarlo alle autorità nazionali e successivamente, dopo un’analisi dei dati rubati, contattare tempestivamente gli utenti interessati dal furto.

Ma come specificato, le società devono “scoprire” di aver subito un data breach. Inoltre, nel passato possono essere già avvenuti dei data breach, magari anche notificati, ma dove gli utenti non lo hanno mai saputo (magari perché le comunicazioni sono state mandate su indirizzi email non più usati oppure le comunicazioni sono finite nella cartella dello Spam).

Potete quindi provare a usare il sito di haveibeenpwned: qui basta inserire il vostro indirizzo email, che sarà controllato con il database dei principali data breach avvenuti.

In caso la vostra email sia presente in uno dei servizi che hanno subito il data breach, il sito stesso vi avvertirà. Ovviamente, se risultate vittima di un data breach avvenuto in passato, anche qui niente panico: dipende tutto dai dati che sono stati sottratti e probabilmente, i dati sottratti dai malintenzionati non sono tornati utili per causarvi qualche danno. Almeno per ora.

Come proteggersi da un data breach: la prevenzione prima di tutto

Sfortunatamente, i data breach sono fenomeni al di fuori del nostro controllo: dipende tutto dal livello delle misure di sicurezza delle aziende prese di mira. Al giorno d’oggi, tutti noi usiamo sempre più servizi online e apriamo ovunque nuovi account, esponendoci quindi sempre di più alla possibilità di rimanere vittima di un data breach. Ma cosa possiamo fare per proteggerci?

Oltre ad avere password sicure per ogni nostro account, magari anche create tramite il generatore di password casuali di ExpressVPN, uno dei tanti servizi per creare password a prova di hacker con un click. Si possono infatti inserire caratteri speciali e numeri, così come modificare la lunghezza della password. Ovviamente, tutte le password create non devono mai essere condivise con nessuno.

Di base però, l’unica arma a nostra disposizione contro i data breach rimane la prevenzione: in caso rientrassimo tra gli utenti vittima di un data breach a un’azienda X, dobbiamo subito cambiare la password dell’indirizzo email che abbiamo usato per aprire un account sul servizio o piattaforma dell’azienda X in questione.

Così come dovremmo sempre cambiare una volta all’anno le nostre password, almeno quelle degli account sensibili (e specialmente quella del nostro indirizzo email). In tal modo, pure se alcuni dei nostri dati fossero rubati in un data breach mai scoperto, tanto ogni anno proteggiamo i nostri account cambiando sempre password, e rendendo inutili gli eventuali dati sottratti dagli hacker.