Un nuovo rapporto del fornitore di informazioni sulle minacce informatiche Digital Shadows rivela l'entità dei dati di accesso trapelati in tutto il mondo in relazione alle acquisizioni di account (Account Take Over, o ATO in breve). Ci sono più di 24 miliardi di combinazioni utente-password in circolazione nel dark web.
In relazione alla popolazione mondiale, ciò corrisponde a quattro account esposti per utente di Internet. Il numero di credenziali rubate e divulgate è quindi aumentato di circa il 2020% dal 65.
Dati di accesso sul dark web: aumento del 65%.
La maggior parte dei dati esposti riguarda individui e consumatori e include nomi utente e password di vari account, dai conti bancari e rivenditori online ai servizi di streaming e social media ai portali aziendali. Un totale di 6,7 miliardi di dati di accesso scoperti sono classificati come "unici" e sono stati quindi messi in vendita per la prima volta e solo una volta su un mercato nel dark web (2020: 5 miliardi; +34%).
I dati di accesso compromessi vengono offerti principalmente tramite mercati e forum pertinenti sul dark web. Qui, l'ecosistema dei criminali informatici è cresciuto in modo significativo in termini di portata e professionalità negli ultimi due anni. Oltre ai dati di accesso trapelati, al malware e agli strumenti di cracking, i clienti interessati possono anche stipulare servizi in abbonamento e servizi premium relativi alle acquisizioni di account. Solo negli ultimi 18 mesi, gli analisti di Digital Shadows hanno identificato 6,7 milioni di incidenti di credenziali di accesso dei clienti pubblicizzate su più piattaforme. Ciò include i nomi utente e le password di dipendenti, partner, clienti, nonché vari server e dispositivi IoT.
La mancanza di igiene delle password rende facile per gli aggressori
Secondo lo studio, il più grande deficit di sicurezza è ancora la mancanza di igiene delle password. Gli utenti di Internet continuano a utilizzare password facili da indovinare (ad esempio "password") e semplici sequenze di numeri. Quasi ogni 200a password (0,46%) è quindi "123456". Anche le combinazioni di lettere vicine tra loro sulla tastiera del computer (ad esempio "qwerty", "1q2w3e") sono popolari. Delle 50 password più comuni, 49 possono essere decifrate in meno di un secondo. Alcuni degli strumenti necessari per farlo sono disponibili sul dark web a partire da $ 50.
Anche l'aggiunta di caratteri speciali (ad es. @, #) può solo ritardare l'hacking dei dati di accesso, ma non necessariamente impedirlo. Secondo Digital Shadows, una password in 90 parti con un solo carattere speciale costa ai criminali informatici in media 4 minuti in più. Con due caratteri speciali, gli hacker hanno ancora bisogno di due giorni e XNUMX ore.
Il futuro senza password deve arrivare
“L'industria sta facendo passi da gigante verso un futuro senza password. Per ora, tuttavia, la questione delle credenziali compromesse sembra essere fuori controllo", ha dichiarato Chris Morgan, Senior Cyber Threat Intelligence Analyst di Digital Shadows. “I criminali hanno a disposizione elenchi infiniti di credenziali trapelate o rubate e apprezzano la mancanza di creatività degli utenti nella scelta delle password. Ciò consente di rilevare gli account in pochi secondi utilizzando strumenti di cracking automatizzati e facili da usare. Molti dei casi che abbiamo esaminato come parte del nostro studio avrebbero potuto essere evitati assegnando una password univoca e sicura".
Altro su DigitalShadows.com
A proposito di ombre digitali
Digital Shadows rintraccia i dati trapelati involontariamente attraverso il web aperto, profondo e oscuro, aiutando le organizzazioni a ridurre al minimo l'esposizione digitale risultante alle minacce esterne. Con SearchLight™, le aziende possono rispettare le normative sulla protezione dei dati, prevenire la perdita di proprietà intellettuale ed evitare danni alla reputazione.