Panato (o Pwned), detta così noi italiani interpretiamo la panatura come “fregatura”… ed in effetti lo è!

Il significato di PWned (si legge “Pawned”)

PWned vuol dire essere stati soggetto di una sottrazione di password, a nostra insaputa da un servizio a cui ci siamo iscritti e che è stato, nel tempo hackerato o soggetto a data breach.

Usare la stessa password su diversi siti in questo caso diventa un danno incalcolabile, e soprattutto “non verificabile”.

Di solito usiamo sempre la stessa casella mail per diversi servizi, perché non tutti sono come il sottoscritto che ne ha 15 o 16.

E di solito ne abbiamo una per lavoro e una per uso personale… magari una GMail che usiamo anche sullo smartphone come account di Android, o come account di PayPal o Amazon giusto?

Mi auguro che abbiate seguito i consigli base utilizzando password differenti per ogni servizio a cui vi registrate. Perché molti siti, anche alcuni nomi famosi, sono stati oggetto di data breach, sottrazione di dati e, soprattutto nel passato, non avevano l’obbligo di informare gli utenti.

Come funziona il PWning?

Una volta che hanno scoperto la password che usiamo, gli basta usare la coppia “mail/password” per tentare di entrare in tutti i più comuni servizi, compreso l’ACCOUNT DI GOOGLE del nostro smartphone, o di PAYPAL, o di altri siti in cui possono facilmente sfruttare il vostro account per causarvi danni economici, sottrarre dati o elementi di valore o addirittura ottenere informazioni utili per ricatto, spear phishing e altre truffe tagliate su misura per voi.

“Ma io sono stato PWnato?”

Bella domanda…

A cui però possiamo dare una risposta consultando questo sito:

https://haveibeenpwned.com/

inserendo l’indirizzo mail da controllare (non chiede password ovviamente) effettua il controllo su alcuni database per verificare se compare. Questi database sono stati resi pubblici dalle società “violate, ma anche recuperando informazioni dagli hacker, perché vengono messi in vendita, ma le operazioni di contrasto alla cybercriminalità scoprono sovente le fonti di cui si avvalgono e le utilizzano per realizzare strumenti “di protezione”.

Come usare il sito di controllo pwned

Basta inserire quindi l’indirizzo e premere il pulsante

Se la schermata successiva è “verde” tutto ok, vuol dire che il nostro indirizzo non è (per ora) nel database a disposizione degli hacker.

Ho fatto un paio di prove con alcuni dei miei indirizzi, e mentre su uno è risultato tutto ok

su un altro ho avuto una “sorpresa” (in realtà già lo sapevo perché in passato mi era stato segnalato)

Il bello del sito però è che possiamo anche vedere i servizi da cui deriva la nostra “sottrazione” e quello che scopriamo è che alcuni degli elementi che hanno contribuito a rendere pubbliche le nostre password (e anche altri dati) sono nomi anche di alto profilo, come ad esempio Dropbox, Linkedin o EDMODO.

Come vedete quindi è piuttosto semplice per un hacker ricevere una serie di password “pronte all’uso”, magari le hanno cambiate nel frattempo, magari no!

Spero per voi che la vostra situazione non sia nel “magari no”, ad ogni modo esistono sistemi anche a livello aziendale, per verificare se la password che stiamo usando è già nell’elenco delle password più usate dagli hacker…

ma questa è un’altra storia, state tranquilli che ve la racconteremo più avanti, perché

la Sicurezza non può essere per molti

DEVE ESSERE PER TUTTI!