I ricercatori di Cybernews hanno scoperto quella che sembra essere la più grande raccolta di password con l’incredibile cifra di 9.948.575.739 password univoche in testo semplice. Il file con i dati, intitolato rockyou2024.txt, è stato pubblicato il 4 luglio da un popolare utente del forum di hacking ObamaCare.
Cosa succede per milioni di utenti con password vulnerabili
Alcuni addetti ai lavori hanno incrociato le password incluse nella fuga di dati RockYou2024 con i dati del Leaked Password Checker di Cybernews, che ha rivelato che queste password provenivano da un mix di violazioni di dati vecchie e nuove.
“Nella sua essenza, la fuga di notizie di RockYou2024 è una raccolta di password del mondo reale utilizzate da persone in tutto il mondo. Rivelare che molte password per gli autori delle minacce aumenta sostanzialmente il rischio di attacchi di credential stuffing”, affermano i ricercatori di Cybernews.
Qual è l’impatto della perdita? Gli attacchi di credential stuffing possono essere gravemente dannosi per utenti e aziende. Ad esempio, una recente ondata di attacchi contro Santander, Ticketmaster e altri è stata il risultato diretto di attacchi di credential stuffing contro il fornitore di servizi cloud delle vittime, Snowflake.
“Gli autori delle minacce potrebbero sfruttare la compilazione delle password RockYou2024 per condurre attacchi di forza bruta e ottenere accesso non autorizzato a vari account online utilizzati da individui che utilizzano password incluse nel set di dati”, spiega il team.
Gli aggressori possono utilizzare la raccolta RockYou2024 da dieci miliardi per prendere di mira qualsiasi sistema che non sia protetto dagli attacchi di forza bruta. Ciò include di tutto, dai servizi online e offline alle fotocamere connesse a Internet e all’hardware industriale.
“Inoltre, combinato con altri database trapelati su forum e mercati di hacker, che, ad esempio, contengono indirizzi e-mail degli utenti e altre credenziali, RockYou2024 può contribuire a una cascata di violazioni di dati, frodi finanziarie e furti di identità”, afferma il team.
Tre anni fa è apparsa una storia ampiamente pubblicizzata sulla raccolta di password RockYou2021, la più grande all’epoca, con 8,4 miliardi di password in testo semplice. Secondo l’analisi di RockYou2024 effettuata dal team di Cybernews, gli aggressori hanno sviluppato il set di dati frugando in Internet alla ricerca di fughe di dati, aggiungendo altri 1,5 miliardi di password dal 2021 al 2024 e aumentando il set di dati del 15%.
La raccolta RockYou2021, un’espansione di una violazione dei dati del 2009, includeva decine di milioni di password utente per account di social media. Da allora, però, la compilation è cresciuta esponenzialmente. Molto probabilmente, l’ultima iterazione di RockYou contiene informazioni raccolte da oltre 4.000 database in due decenni.
Cybernews includerà i dati di RockYou2024 nel Leaked Password Checker, consentendo a chiunque di verificare se le proprie credenziali sono state esposte tramite l’ultima compilazione di password esposte conservate.