Credential stuffing: come le falle di sicurezza portano al furto di dati

Tutti noi utilizziamo decine o addirittura centinaia di servizi online diversi: provider di posta elettronica, software, servizi di streaming, abbonamenti a riviste, e molto altro ancora. Ciascuno di questi servizi richiede che effettuiamo un accesso, inserendo nome utente e password. Spesso, tuttavia, questi dati di accesso vengono rubati in un modo o nell’altro, e quindi messi in vendita in grosse raccolte di password da criminali informatici. Gli hacker utilizzano poi questi dati di accesso, ad esempio tramite il cosiddetto credential stuffing, per trarre profitto dai dati rubati.

In diverse occasioni, gli hacker riescono a penetrare nei database di grandi servizi online e a rubare i dati di accesso di numerosi utenti. I dati acquisiti vengono offerti in vendita sulle darknet sotto forma di elenchi. L’elenco più noto e lungo, al momento, si chiama “Collection #1-5” e include oltre 2,2 miliardi di combinazioni di nomi utente e password – un volume di dati di circa 900 gigabyte!

Che cosa si può fare con questa lista? A colpo d’occhio, non molto. Quando un fornitore di servizi rileva il furto di dati, avvisa subito i suoi clienti e chiede loro di cambiare la password.

Cambiando la password si impedisce agli hacker di accedere all’account utente corrispondente. Ma il problema è che molti utenti si sentono troppo al sicuro. Utilizzano la stessa combinazione di indirizzo e-mail e password per diversi servizi online. Ed è qui che entra in gioco il credential stuffing, utilizzato dagli hacker per essere in grado di sfruttare i dati di accesso rubati a proprio vantaggio.

Tramite il credential stuffing, gli hacker tentano di entrare in un sistema con dei dati di accesso rubati (in inglese: “credentials”). Lo fanno provando a usare un gran numero di credenziali diverse che hanno rubato da altri servizi online. Lo scopo dell’attacco è ottenere l’accesso ad altri dati preziosi nell’account hackerato, ad esempio il numero di carta di credito o l’indirizzo dell’utente, i documenti memorizzati, i contatti – in breve: ulteriori dati da cui è possibile trarre profitto.

Secondo le statistiche, circa un tentativo di accesso su mille ha esito positivo. In altre parole: un utente malintenzionato deve provare una media di 1.000 dati di accesso diversi per entrare in un sistema.

L’hacker ha bisogno di quattro cose per un attacco di “credential stuffing” di successo:

• un elenco di dati di accesso;
• un elenco di servizi online diffusi che vuole attaccare (ad esempio: Dropbox, Adobe Cloud, Canva, ecc.);
• una tecnica usata per utilizzare un gran numero di diversi indirizzi IP come mittenti (rotazione IP);
• un “bot” (programma per computer) proprio, che tenta automaticamente di accedere ai vari servizi online.

Utilizzando tali bot, l’hacker tenta un accesso dopo l’altro a un servizio online, cambiando sistematicamente l’indirizzo IP del mittente in modo che il server di destinazione non blocchi i tentativi di accesso. Infatti, ogni server ben configurato bloccherà un determinato indirizzo IP se il numero di tentativi di accesso non riusciti supera una certa soglia.

Se il login riesce, il bot accederà alle preziose informazioni sopra menzionate. Inoltre, i dati di accesso rubati vengono salvati per un utilizzo successivo, ad esempio per attacchi di phishing e simili.

Rispetto ai seguenti metodi di hacking, il credential stuffing è spesso molto più efficace:

• gli attacchi “brute force” richiedono un numero molto più elevato di tentativi, perché vengono provate combinazioni di password puramente casuali e non - come con il credential stuffing - password effettivamente esistenti;
• il social engineering di solito limita l’attacco a una singola piattaforma (ad esempio Amazon), mentre il credential stuffing può attaccare contemporaneamente centinaia di diversi servizi online.

La misura di protezione più semplice e sicura consiste nell’utilizzare password diverse per diversi accessi. Sebbene possa sembrare faticoso, è sicuramente meglio escogitare oggi un metodo per ricordare password diverse piuttosto che dover poi cambiare la password per tutti gli accessi individuali in caso di un furto di dati in futuro.

Le migliori pratiche per gestire password diverse sono:

• uno schema di password segrete che viene applicato a tutte le password. Uno schema collaudato consiste nel mescolare i nomi delle piattaforme con una combinazione fissa di numeri. La password per Dropbox diventa quindi dro33pbox22, mentre quella per Amazon ama33zon22;
• l’uso di una password manager; qui si può scegliere tra un’app o un browser - Add-on;
• l’utilizzo di più indirizzi di posta elettronica o nomi utente per le varie piattaforme, ciascuno con una password diversa.

Per gli operatori di siti web, negozi e servizi online, esiste un’intera gamma di opzioni per proteggere gli utenti dal credential stuffing:

• un authenticator TOTP, ovvero l’utilizzo di una password temporanea monouso (time-based one-time password) per l’accesso;
• un’autenticazione a più fattori, ad esempio attraverso l’invio di un codice SMS allo smartphone
• bloccare i browser headless come quelli usati dai bot;
• bloccare il traffico dati dai data center come Amazon Web Services o IBM Watson. Infatti, i bot sono spesso gestiti da tali data center;
• utilizzo di software di difesa specializzati. Ad esempio, per WordPress, il plug-in Wordfence Login Security è l’ideale;
• device fingerprint. Varie funzionalità del computer dell’utente, come indirizzi MAC, la dimensione del disco rigido, ecc., vengono lette e convertite in un valore hash di modo che un tentativo di accesso da un computer estraneo possa essere smascherato immediatamente.