Uno degli aspetti negativi di Internet oggi è un fenomeno conosciuto tra gli esperti come “credential dumps” (furto delle credenziali) ovvero la pubblicazione sul web di liste di username e password. Noi monitoriamo costantemente la rete per controllare la presenza di questi post, in modo da poterci attivare tempestivamente per proteggere la privacy dei nostri utenti. Questa settimana, abbiamo identificato diverse liste che affermavano di contenere le credenziali di Google e di altri Internet provider.
Abbiamo scoperto che meno del 2% di queste combinazioni di username e password poteva effettivamente funzionare e i nostri
sistemi automatici contro le violazioni avrebbero comunque bloccato molti di questi tentativi di login. Abbiamo attivato una protezione degli account coinvolti e abbiamo chiesto a questi utenti di impostare una nuova password.
È importante notare che in questo caso, come in altri, gli username e le password oggetto del furto non sono stati ottenuti mediante una violazione dei sistemi di sicurezza di Google. Spesso, queste credenziali possono essere ricavate attraverso una combinazione di fonti diverse.
Per esempio, se riutilizzate gli stessi username e password in siti diversi, e uno di questi siti subisce un attacco di hacking, le vostre credenziali potrebbero essere utilizzate per accedere ad altri siti. Oppure, gli hacker potrebbero usare
malware o sistemi di
phishing per memorizzare le credenziali di accesso.
Lavoriamo costantemente per difendere i vostri account dagli attacchi di phishing, malware e spam. Ad esempio, se rileviamo attività insolite dell’account, blocchiamo i tentativi di accesso da luoghi e dispositivi sconosciuti. L’utente può comunque
controllare le attività dell’account e confermare se ha effettuato o meno un tentativo di accesso.
Per finire, alcuni consigli: assicuratevi di utilizzare una
password efficace esclusivamente per Google. Tenete aggiornate le vostre
impostazioni di recupero password, in modo che possiamo contattavi telefonicamente o via e-mail se non riuscite più ad accedere all’account. E prendete in considerazione la
verifica in due passaggi, con la quale potrete contare su un ulteriore livello di sicurezza. Visitate
g.co/accountcheckup, in cui trovate una lista dei molti controlli di sicurezza a vostra disposizione.
Scritto da:Borbala Benko, Elie Bursztein, Tadek Pietraszek and Mark Risher, Google Spam & Abuse Team