Breached Accounts è un utile strumento che ti permette di capire se i propri account utente fossero stati coinvolti in qualche attacco.
Questa shortcuts si appoggia ad un noto sito, che si chiama “Have I been pwned“, è un database che contiene informazioni su tutti gli account utente, a livello mondiale, che sono stati coinvolti nella sottrazione di dati posta in essere, da parte di criminali informatici, su diversi siti web completamente differenti l’uno dall’altro.
Provate a visitare la home page di Have I been pwned e digitate il vostro indirizzo email nella casella di ricerca (email address): tranquilli il sito è sicuro e nessuno utilizzerà l’account di posta per inviarvi spam.
Il servizio vi risponderà immediatamente con la frase Good news – no pwnage found! su sfondo verde oppure con la formula Oh no – pwned! su sfondo rosso. Noi per semplificare le risposte nella shortcut abbiamo fatto la traduzione in italiano.
Nel primo caso significa che nessun account in cui è stato utilizzato l’indirizzo email specificato è stato coinvolto in alcun attacco.
Nel secondo caso (messaggio Oh no – pwned!), uscirà un messaggio che il vostro account è stato compromesso, scorrendo verso il basso la vi mostrerà dove è stato trovato il vostro account con la relativa spiegazione.
Stessa cosa abbiamo fatto con la shortcut, avrete o il messaggio in verde che non è stato violato o il messaggio in rosso che il vostro account è stato violato con i relativi posti dove è stato trovato.
Non è detto che la password dell’account sia nota ai criminali informatici perché in molti casi i gestori dei servizi online la proteggono mediante un algoritmo di hashing.
La password, insomma, non viene memorizzata in chiaro ma viene salvata in un formato cifrato che lavora in un’unica direzione: permette cioè dalla password dell’utente di generarne una versione codificata corrispondente ma non consente dalla versione codificata di risalire alla password in chiaro.
Ovviamente la scelta del migliore e più sicuro algoritmo di hashing gioca un ruolo fondamentale: in alcuni casi i criminali informatici, usando attacchi brute force e/o le cosiddette rainbow tables possono provare a invertire la funzione di hash e risalire alle password reali degli utenti.
Inoltre, utenti poco attenti alla sicurezza dei propri dati e alla propria identità online, possono facilitare la vita ai malintenzionati riutilizzando le stesse password su più servizi differenti. Una pratica, questa da evitare come la peste.
L’autore di Have I been pwned, Troy Hunt, non ha ovviamente alcun legame con gli attacchi che sono stati sferrati ai vari servizi online nel corso del tempo: Hunt svolge però un lavoro certosino che risulta davvero prezioso e spesso poco compreso degli utenti.
L’ideatore di Have I been pwned controlla costantemente l’attività svolta sui forum dedicati a hacking e cracking, quanto caricato sui siti per la condivisione di contenuti (come Pastebin), scandaglia il dark web per individuare la pubblicazione di dati e credenziali di utenti riconducibili ad attacchi informatici vecchi e nuovi.