Quando una password ti rovina il compleanno
Bianca De Robertis, 35 anni appena compiuti, di statura media, capelli castano chiaro con onde morbide e un’irrinunciabile passione per l’eyeliner glitterato, era la tipica collega che si faceva notare. Non solo per lo stile – un mix tra glam anni ’80 e arcobaleno pastello – ma anche per i compleanni, che festeggiava come se fossero eventi mondani.
Lavorava come addetta all’amministrazione in una media impresa di commercio online e si definiva una “tecnomillennial autodidatta”, anche se la verità era che con la tecnologia ci andava d’accordo solo quando le faceva comodo.
Per festeggiare, si era regalata un paio di stivali glitterati, una torta con fontana pirotecnica e un nuovo profilo Instagram, per “restare al passo con le colleghe più giovani”.
La password? Bianca123. Semplice, carina e… riciclata da almeno otto anni. La usava per tutto: posta elettronica, account aziendale, persino per la raccolta punti del supermercato. Ma, attenzione: con la “B” maiuscola, eh! Quindi sicura. Più o meno.
Nel nuovo profilo Instagram, decorato con citazioni motivazionali e foto dei suoi due chihuahua, i like iniziarono subito a fioccare. Tra questi, anche un messaggio privato:
“Ciao! Ti ricordi di me? Abbiamo fatto danza insieme da bambine!”
Firmato: Carlotta91, con tanto di cuoricino e short link. Bianca non ricordava nessuna Carlotta91, ma la curiosità ebbe la meglio. Cliccò.
Il link la portò su una pagina identica a quella di Instagram, con un avviso che diceva: “Sessione scaduta. Effettua di nuovo l’accesso.” Senza pensarci due volte, digitò username e – ovviamente – Bianca123.
Nei giorni successivi, tutto sembrava nella norma, a parte qualche like sparso su video di ricette giapponesi e un commento sospetto sotto un suo post da parte di un commercialista sudafricano. “Mah”, pensò Bianca, “saranno cose dell’algoritmo.”
Finché una sera, la ragazza decise di accedere da remoto alla rete aziendale per sbrigare il lavoro rimasto in arretrato dai festeggiamenti coi colleghi. inserì le sue credenziali: nome utente e, ancora una volta, Bianca123.
E fu in quel preciso istante che la miccia si accese.
La combinazione di una password debole e l’assenza di autenticazione a due fattori (MFA) – che si era rifiutata di attivare perché tanto “Io lavoro solo dal PC dell’ufficio” – risultò fatale.
Cinque minuti dopo, il sistema registrava un nuovo accesso da un indirizzo IP russo. Quindici minuti dopo, i dati di contatto di alcuni clienti dell’azienda venivano scaricati. Un’ora dopo, il suo account Instagram era scomparso. E due ore dopo, la rete dell’intero ufficio era sotto attacco.
Successe che, dal dark web, qualcuno scoprì la corrispondenza di quelle credenziali con un vecchio leak e avviò un attacco di credential stuffing. In parole povere, vennero provati username e password rubati su vari account online… incluso quello con cui Bianca accedeva alla rete aziendale.
Quella “maledetta” password, in circolo da anni e riutilizzata ovunque, rappresentava una vera e propria porta spalancata su un palazzo pieno di dati sensibili.
E il compleanno di Bianca, stavolta, lo avrebbero ricordato in molti. Ma non per i palloncini.
Cos’è il credential stuffing?
Il credential stuffing è una tecnica di attacco informatico che sfrutta la cattiva abitudine di riutilizzare le stesse credenziali (username e password) su più siti e servizi. Quando un hacker riesce a ottenere – tramite una violazione di dati o dal dark web – una lista di credenziali valide, prova automaticamente ad accedere ad altri account degli utenti, sfruttando bot e software automatizzati. Se la stessa combinazione viene usata altrove, l’accesso è immediato.
Questo tipo di attacco è particolarmente insidioso perché non richiede di forzare o indovinare una password: si basa su credenziali reali e già compromesse. Le vittime spesso non si accorgono subito dell’intrusione, perché l’hacker entra “in punta di piedi” e può spiare, rubare dati o usare gli account per ulteriori truffe.
Per difendersi dal credential stuffing è fondamentale:
-
Usare password diverse per ogni servizio,
-
Attivare l’autenticazione a due fattori (MFA),
-
Verificare se le proprie credenziali sono già state compromesse, tramite siti appositi.
Una sola password riutilizzata può diventare la chiave d’accesso a tutta la tua vita digitale.
Nella prossima pillola di cyber igiene: cosa accadrà ora che l’accesso all’account aziendale di Bianca è stato compromesso?
Vuoi conoscere meglio i nostri servizi?