Domande frequenti

Cos'è una data breach?

Per "data breach", (in italiano "violazione dei dati personali") si intende una violazione di sicurezza che comporta l’accesso o la divulgazione non autorizzata dei dati personali trattati. Spesso questi dati provengono da servizi o siti violati, contenenti dati personali e/o sensibili oltre che credenziali. Tale divulgazione può avvenire in seguito a perdita accidentale, furto, infedeltà aziendale o accesso abusivo. Una parte delle data breach emerge nel mercato nero o diventa successivamente di dominio pubblico. I dati presenti sono spesso raccolti in liste e usati per lo spam, furti d'identità, hacktivism o credential stuffing.

Perché DataBreached.it?

Il servizio è stato creato per valutare l'impatto delle data breach di siti e servizi italiani sui singoli utenti. Sono presenti liste di email provenienti da portali ".it" precedentemente violati e già rese pubbliche in passato. Il servizio si dedica in particolare ai piccoli e medi portali italiani non presenti nel già famoso e consigliato Have I Been Pwned.

La mia email compare in una data breach! Cosa devo fare?

Controlla la data della violazione. Se hai cambiato la password del servizio compromesso dopo la data della violazione dovresti essere al sicuro. In caso contrario imposta subito una nuova password robusta nel servizio violato e in qualsiasi servizio in cui sei registrato con la stessa password. É buona regola utilizzare una password diversa per ogni servizio utilizzato.

La mia email non è presente in nessuna data breach. Sono al sicuro?

No. Questo servizio si limita a ricercare le email soltanto nei database dei servizi italiani violati. Dovresti controllare anche su altri servizi per assicurarti ulteriormente della sicurezza dei tuoi account. Detto ciò, molte di queste violazioni rimangono spesso private per lungo tempo o vengono del tutto ignorate. "L'assenza dell'evidenza non è l'evidenza dell'assenza" o, detto in altre parole, il fatto che il tuo indirizzo email non compaia qui non significa che non sia stato già compromesso in un'altra breach non ancora pubblica.

La mia email compare in una data breach, ma non ricordo di essermi mai iscritto a quel sito. Perché?

Ciò può essere dovuto a diversi motivi. Il servizio potrebbe aver cambiato nome, essere stato acquistato da un'altro, o potrebbe aver ricevuto il tuo indirizzo email tramite altre fonti (database per l'email marketing, concorsi a premi, campagne per la raccolta di contatti). Qualcuno potrebbe poi aver usato la tua email per iscriversi al servizio.

Conservate anche le password degli utenti in questo sito?

No. Nessuna password è memorizzata in questo sito. Quando una data breach è caricata nel servizio, viene memorizzato solo l'hash Argon2 dell'indirizzo email compromesso e viene compilata una lista del tipo di dati sottratti.

Come vengono gestiti i punti (.), le maiuscole/minuscole e i filtri (+) nel formato degli indirizzi email?

Le email vengono caricate sul sito senza nessun cambiamento sostanziale da come sono state trovate. Per uniformità, gli indirizzi sono trasformati al minuscolo durante la ricerca nel database. Se solitamente usi i caratteri "+"" e "." nel tuo indirizzo email dovrai provare a ricercarlo nei formati che utilizzi di solito.

Le mie ricerche sono registrate quando cerco i miei indirizzi email sul servizio?

Le ricerche effettuate non sono "loggate" o registrate. Sono però raccolti dati di diagnostica in caso di errori o di abusi del servizio da parte di singoli utenti.

Come faccio ad essere certo che non stiate memorizzando la mia email quando la cerco?

La tua email viene trasformata in un hash Argon2 prima di essere inviata al nostro server. Non esiste modo di risalire alla email inserita se non quello di conoscerla prima (proprio a causa della data breach). Il servizio è libero e gratuito, e nasce per aiutare gli utenti a valutare il rischio e la portata delle violazioni nei loro account. Come ogni altro servizio sul web, se sei preoccupato per la tua privacy o la tua sicurezza, puoi semplicemente non usare il servizio. Se può aiutarti a convincerti, vieni a conoscerci.

Voglio rimuovere la mia email dal servizio.

Contattaci tramite qualunque canale presente nella pagina dei contatti o scrivi a report@databreached.it. Il tuo indirizzo continuerà però a comparire nelle copie del database presenti pubblicamente, oltre che in altri servizi simili.

É possibile aggiungere questa o quella funzione al sito?

Nel caso il progetto prenda piede, ogni proposta attuabile verrà presa in considerazione. Per adesso puoi aiutare il progetto donando per sostenerlo e farlo crescere. In alternativa, puoi aiutare condividendo il progetto sui social.

Avrei un database compromesso da aggiungere al servizio. Sarebbe possibile?

Sì! Gli unici requisiti è che si tratti di una data breach italiana o con una userbase in maggioranza italiana, che sia già stato resa pubblica e che non sia già stata inserita. Puoi entrare in contatto con noi tramite uno qualunque dei canali presenti sulla pagina dei contatti.

C'è un database in vendita in questo sito, perché non lo acquistate e lo aggiungete?

Ci sono varie ragioni sul perché non sia una buona idea. Questo blog post del creatore di HIBP fa luce sui diversi aspetti del problema. I progetti come questo e HIBP sono pensati per supportare le persone colpite dalle data breach. Prendere parte all'attività di compravendita dei dati personali darebbe un ROI e quindi un incentivo ai responsabili.

Non bastava "Have I Been Pwned"?

Sfortunatamente le data breach che avvengono sono davvero troppe per essere raccolte e catalogate unicamente da HIBP. Soprattutto quando gli account presenti in una data breach sono inferiore al migliaio o alla decina di migliaia non vengono aggiunti o vengono segnalati come "pastes" generici, senza verificare le fonti. A titolo di esempio, questo febbraio sono stati aggiunti 2'844 database aggregati di piccoli siti, per un totale di 80 milioni di account. Una parte di questi provenivano da servizi italiani.

Sono un ricercatore di sicurezza informatica, potreste rendermi disponibile questa determinata breach?

Mentre stiamo ancora valutando se rendere disponibili a scopo di ricerca i database in modo anonimizzato (e.g. tramite k-anonimity per password analysis), non forniamo le fonti dei dati. Mentre qualcuno potrà obiettare sostenendo che i dati sono già pubblici essendo divulgati in rete, crediamo che favorire l'accesso alla totalità di questi possa contribuire ad aumentare il danno che la breach ha già causato. Solo perché la breach è avvenuta non significa che debba essere prontamente resa accessibile nella sua totalità a chiunque.

Ho un'altra domanda non presente in questa pagina.

Ponicela e proveremo a risponderti.