Comprendere la violazione dei dati

Quando si parla di sicurezza informatica, una delle frasi più comuni che sento ripetere è:

“Nessuno ha motivo di hackerarmi.”

Ed è vero: nel 99% dei casi un pirata informatico non si sveglia la mattina dicendo:

“Oggi attacco Mario Rossi, che non conosco, giusto per sport.”

Il problema è che questo modo di ragionare si basa su un equivoco enorme: gli attacchi moderni NON prendono di mira singole persone.

Nessun hacker esperto spreca tempo ed energie per colpire un individuo sconosciuto.

Il bersaglio non sei tu come persona.

Il bersaglio è l’ecosistema di cui fai parte.

E l’ecosistema digitale è pieno di servizi a cui tutti siamo iscritti:

• Gmail
• Amazon
• eBay
• Facebook
• Instagram
• TikTok
• PayPal
• Qualsiasi forum, app o sito con milioni di utenti

Tutti abbiamo almeno uno di questi account.

E questo rende tutti potenziali obiettivi indiretti.

Perché gli hacker attaccano le aziende (non te)

Gli hacker intelligenti non attaccano “Mario Rossi”, ma le grandi piattaforme.

Parliamo di aziende che gestiscono milioni o miliardi di dati e transazioni.

Queste aziende subiscono:

• migliaia di tentativi di intrusione al giorno,
• attacchi automatizzati 24/7,
• campagne su larga scala che scannerizzano continuamente falle e vulnerabilità.

La logica è semplice:

• Chi si difende deve vincere sempre
• Chi attacca deve vincere una sola volta

Quando un attacco va a segno, gli hacker non rubano un singolo account: rubano tutto ciò che possono.

Cosa viene rubato durante una violazione?

• indirizzi email
• username
• password (spesso cifrate, ma non sempre)
• indirizzi IP
• nomi e cognomi
• numeri di telefono
• date di nascita
• carte di credito (a volte cifrate, a volte no)
• token di accesso ai servizi
• hash delle password
• dati comportamentali e preferenze

Ed è qui che entra in gioco il problema principale: una volta usciti dai server dell’azienda, quei dati diventano pubblici, duplicabili, vendibili, rivendibili e riutilizzabili per anni.

Internet non dimentica mai.

La seconda fase: decifrare ciò che è stato rubato

Le informazioni rubate vengono:

1. Condivise sui forum underground
2. Vendute nei marketplace del Dark Web
3. Scambiate tra gruppi criminali
4. Aggregate in grandi database di credenziali

Le password e i numeri delle carte di credito sono spesso cifrati (ma non sempre).

Questo però NON significa che siano al sicuro.

Gli hacker usano strumenti di decifrazione (legalissimi e gratuiti) per tentare di recuperarle.

E qui entra in gioco il vero pericolo: la debolezza delle password scelte dalla maggior parte degli utenti.

Cracking delle password

Indovinare una password non è fantascienza: è routine.

Esistono due metodi principali.

1. Attacco dizionario

Il pirata informatico utilizza una lista gigantesca di parole, nomi, frasi e varianti comuni.

Esempi classici:

• password
• qwerty
• 123456
• iloveyou
• Admin123
• Nome123
• P4ssw0rd (variante “furba” di password)

Esistono dizionari per:

• testi di canzoni
• nomi famosi
• citazioni
• personaggi TV
• luoghi geografici
• password trapelate in altre violazioni
• nomi di animali comuni
• dizionari personalizzati (famiglia, figli, compleanni, città, squadra del cuore)

In un attacco mirato all’individuo (rarissimo), un hacker può creare un dizionario su misura usando informazioni pubbliche.

2. Attacco di forza bruta

Qui non si usano parole reali: il software prova TUTTE le combinazioni possibili entro certi parametri.

Esempio:

• aaaaaa
• aaaaab
• aaaaac
• …
• fino alle varianti con numeri, simboli e maiuscole

Sembra interminabile?

Non lo è.

La potenza di calcolo moderna rende la cosa spaventosa.

Tempi medi di cracking (2025)

• Password < 6 caratteri → meno di 1 secondo
• 8 caratteri solo lettere → pochi minuti
• 8 caratteri con numeri e simboli → qualche ora
• 12 caratteri complessi → anni o decenni
• 16+ caratteri complessi → attualmente impraticabile

La sicurezza, quindi, non dipende dalla fantasia… dipende dalla lunghezza e dalla complessità reale della password.

Perché tutto questo ti riguarda anche se “non hai nulla da nascondere”

Ecco il punto che molte persone ignorano: gli hacker non hanno bisogno di conoscere te, ti rubano comunque i dati perché sei dentro una piattaforma che hanno colpito.

E cosa ci fanno?

• Vendono le password rubate
• Tentano il login su centinaia di altri servizi (credential stuffing)
• Rubano identità
• Usano l’email per phishing mirati
• Vendono dati sensibili alle aziende
• Aprono account bancari a tuo nome
• Prendono controllo dei social
• Accedono ai tuoi backup cloud
• Chiedono riscatti (extortion)
• Leggono le tue conversazioni private
• Usano la tua email per attaccare altri

Non devi essere famoso per essere bersaglio.

Devi solo essere un utente di Internet.

E questo, oggi, significa tutti.