I ricercatori di Cybernews hanno scoperto la più grande compilation di password del mondo, denominata RockYou2024. Un utente con nickname ObamaCare ha pubblicato su un forum di hacking un file di testo contenente quasi 10 miliardi di password uniche in chiaro. Una precedente raccolta del 2021 aveva dimensioni inferiori.

Mai utilizzare la stessa password

Il file rockyou2024.txt condiviso sul forum contiene 9.948.575.739 password uniche. Il team di Cybernews hanno esaminato la collezione, scoprendo che le password provengono da un mix di vecchi e nuovi data breach. Una simile raccolta, nota come RockYou2021, era stata individuata tre anni fa. In quel caso, il numero di password era circa 8,4 miliardi.

È probabile che la compilation del 2024 sia stata creata dopo aver effettuato l’accesso ad oltre 4.000 database durante gli ultimi 20 anni. Non è noto se è stata messa in vendita o distribuita in forma gratuita. Una simile collezione di password rappresenta una miniera d’oro per i cybercriminali.

Combinando le password con altre informazioni (ad esempio gli indirizzi email) è possibile effettuare un attacco di forza bruta per tentare di accedere agli account dei servizi online. Un’altra tecnica molto utilizzata è nota come credential stuffing. I cybercriminali possono prendere il controllo degli account, sfruttando una cattiva e pericolosa abitudine di molti utenti, ovvero l’uso delle stesse credenziali per diversi account.

Per evitare rischi è necessario adottare alcune misure preventive. Innanzitutto deve essere verificata la presenza delle credenziali nei data breach, usando il sito Have I Been Pwned. In caso di riscontro positivo devono essere cambiate le password, scegliendo combinazioni robuste e uniche. Se possibile è anche fortemente consigliata l’attivazione dell’autenticazione in due fattori.