Breach Compilation: un’imponente risorsa facilita l’accesso a 1,4 miliardi di credenziali

​​​Si chiama Breach Compilation ed è la base dati più ampia mai divulgata. Si tratta di un archivio di oltre 40 GB, contenente 1,4 miliardi di credenziali, composte da indirizzi email e password, sul quale la Cyber Division di Var Group sta compiendo in queste ore un lavoro di analisi.​​

Il rinvenimento del database di credenziali era stato annunciato lo scorso 8 dicembre dalla società di intelligence 4iQ su medium.com e la base dati risulta essere stata condivisa attraverso un link Torrent il 5 dicembre su Reddit dall’utente tomasvanagas, peraltro non particolarmente attivo sulla piattaforma.

La base dati è risultata essere una raccolta di altri leak, dei quali si trova riscontro nel file imported.log:

  • 000webhost
  • Badoo
  • LinkedIn
  • Myspace
  • Sony
  • Yahoo
  • YouPorn​
  • Zoosk

e, per ammissione dello stesso tomasvanagas, contiene i dati provenienti anche da antipublic, exploit.in, myspace.

Non si tratta tuttavia di una mera rielaborazione di leak precedenti, in quanto si è riscontrata la presenza di password delle quali in precedenza era noto solo l'hash. È probabile quindi che il creatore sia riuscito nelle operazioni di decrypting delle stesse.

A rendere prezioso questo leak cumulativo non è solo la mole dei dati, ma anche la loro organizzazione su oltre 1900 file e la presenza nel pacchetto di uno script di ricerca in grado di restituire in pochi secondi i dati associati ad una email o username.

Dall’analisi sul dump compiuta dalla Cyber Division di Var Group nelle ultime ore emerge tuttavia, grazie anche alla collaborazione di alcuni utenti coinvolti, la presenza nel leak di password vecchie o mai impiegate dagli utenti, con conseguente possibilità di uso solo parziale da parte di un attaccante.

Basi dati come questa tuttavia rappresentano un valido supporto per i criminali per attacchi a soggetti definiti, perché utili a fornire uno storico delle password impiegate da cui trarre indicazioni preziose per la realizzazione di dizionari di password, strutturati sul modello delle password impiegate dall'utente target.​​

Leggi l'articolo pubblicato su La Repubblica