OSINT: Come verificare se i nostri dati digitali sono finiti in un Databreach

In questa guida voglio mostrarvi, come i dati che utilizziamo spesso sui nostri social-network o siti web siano finiti online. Con questo metodo potete verificare se i vostri numeri di telefono o email e password possono essere già finiti in mani di Hacker o Cybercriminali

Cos’è un data breach?

In informatica un data breach è una violazione di dati personali, secondo il GDPR (General Data Protection Regulation) che permette a un malintenzionato (Hacker o Cybercriminale) di sfruttare delle vulnerabilità informatiche all’interno dei sistemi informatici comportando così la perdita accidentale dei dati personali delle proprie persone connesse, tra questi nomicognomidate di nascitenumeri di telefono personaliemail e delle volte anche documenti d’identità di persone. Queste informazioni vengono di solito sottratte a dei siti in cui noi siamo iscritti. Per citare alcune violazioni posso parlare del popolare social-network Facebook che appunto ad aprile 2021 si è scoperto un furto di dati appartenenti a 500 milioni di persone, tra questi i numeri di telefono di alcuni utenti iscritti al social-network.

Cos’è Have I been pwned?

Questo servizio è disponibile gratuitamente a tutti senza nessun costo. Da circa maggio 2021 questa piattaforma è diventata opensource (fonte aperta) e collabora anche Federal Bureau Investigation (F.B.I per intenderci). Ovviamente grazie a questo metodo come citato all’inizio si può verificare anche violazioni di numeri di telefono e persino oltre alle mail anche le password utilizzate da noi utenti connessi in rete.

Come si verifica se una mail a questo problema?

Per prima cosa abbiamo bisogno di recarci sul sito Have I been pwned. Una volta entrati sul sito basta inserire nel campo email il proprio indirizzo email che utilizzate, poi cliccare sul bottone pwned! Come clicchiamo notiamo subito la ricerca eseguita. Se nella nostra ricerca esce scritto:

Good news – no pwnage found!

No breached account

Significa che i nostri dati non sono presenti in nessun tipo di violazione. 

Se invece troviamo scritto così:

Oh no – pwned!

Pwned in 1 (o più data breach) data breach and found no pastes 

(subscribe to search sensitive breaches)

Significa che in qualche database le nostre informazioni sono finite in una violazione o perdita di dati. Se vedete nella mia mail risulta finita in una violazione. Se vedete la mia mail è finita in una violazione dal sito aptoide famoso store dove si scaricano app per Android. Infatti io con la mail email ero proprio iscritto a quel sito come vedete in figura.

Come potete notare ad aprile 2020 aptoide ha subito un furto di dati di emailIPnomi e password. Come è scritto nelle ultime righe.

Come si verifica se un numero di telefono ha subito un furto di dati da questa violazione?

Basta entrare sempre nel sito scrivere nel campo email o Phone numer, il numero di telefono con il prefisso nazionale o internazionale, ad esempio il nostro è +39. Come possiamo notare anche il numero di telefono in questo caso ha subito un furto di dati ad aprile 2021 come vi ho descritto all’inizio della guida.

Come si verifica se la nostra password è già presente in altri dati rubati ad altre violazioni?

Basta entrare sempre su questo sito cliccare sulla scritta password e poi nel campo di ricerca scrivere la password magari di vostro interesse, che potrebbe essere già finite in mani sbagliate. Ad esempio se scriviamo il mio nome Cristian come password oppure 123456789 vedremo nelle due figure qui sotto il risultato di quante persone già sono state violate con tali password utilizzate. Come potete notare questi sono i risultati avuti da entrambi le ricerche.

Cristian

123456789:

Come difendersi da queste violazioni?

  • Evitare di utilizzare password semplici facilmente calcolabili da un computer o qualsiasi dispositivo, come ad esempio nomi di persone, date di nascita, nomi di animali sia in italiano che in altre lingue. Evitate anche di scrivere nomi o cognomi abbreviati che molto spesso anche quelli possono essere un forte errore da parte di un utente poco esperto.
  • Utilizzare password tra i 16-21 caratteri create appunto da software fatti apposta ne cito uno che uso molto spesso io: KeepasXC. Se possibile cambiare password ogni 8-9 mesi.
  • Se utilizzate degli account social oppure account di qualsiasi genere eseguite se non più di vostro utilizzo la cancellazione dell’account. Soprattutto per email e social-network che sono i più utilizzati.
  • Possibilmente a ogni account utilizzate l’autenticazione a due fattori tramite l’app Google Authenticator o Microsoft Authenticator. Evitate il vostro numero di telefono, perché già in altri casi come ad esempio il furto subito da ho-mobile compagnia virtuale di Vodafone già in quel caso i loro sistemi hanno subito una violazione di dati e tra questi anche i numeri seriali delle sim, per intenderci ICCID di ogni singolo cliente. Da li un criminale poteva sferrare attacchi di tipo SIM Swapping.