Come sapere se il mio account è stato violato
Hai il sospetto che qualcuno abbia accesso ai tuoi profili social e, dopo esserti ripetuto più volte che non può essere possibile perché sei molto attento nel tenere per te le tue password, una vocina continua a dirti che qualcosa non quadra e ora vuoi vederci chiaro? Hai letto dell’ennesimo “leak” con milioni di nomi utente e password messi in vendita sul Dark Web e temi che in questi database ci siano anche i tuoi dati?
Se questi sono i dubbi che ti assalgono e, dunque, ti chiedi “come sapere se il mio account è stato violato”, non preoccuparti: cercherò di darti una mano e di spiegarti, concretamente, come puoi fare per dissipare questo dubbio e come prevenire, nel futuro, entro i limiti delle tue possibilità, il furto dei tuoi account.
Spesso, infatti, non è giusto colpevolizzarsi, in quanto i malintenzionati che operano sul Web riescono a trafugare i dati di accesso degli utenti sfruttando le falle di sicurezza di chi quei dati dovrebbe custodirli in maniera sicura (i gestori di siti, social network e così via). All’utente, quindi a noi, è richiesto solo di monitorare costantemente la situazione, informarsi su eventuali “leak” di dati e seguire le classiche regole di buonsenso per la tutela delle proprie credenziali. Maggiori informazioni a seguire.
Indice
- Operazioni preliminari
- Come sapere se il mio account Facebook è stato violato
- Come sapere se il mio account Instagram è stato violato
Operazioni preliminari
Prima di qualsiasi cosa, mi sembra doveroso tranquillizzarti un po’ e sottolineare che i Big di Internet conservano le password degli utenti in forma crittografata e, dunque, ragionevolmente sicura.
Il discorso è molto lungo e qui lo riassumo riducendolo davvero all’osso. Puoi provare anche tu collegandoti al sito MD5 Hash Generator e scrivendo una parola qualsiasi nel grande campo a inizio pagina per poi cliccare sul bottone Generate: vedrai la tua password “tradotta” secondo diversi algoritmi. Se, ad esempio, avessi impostato la password soleggiato, agli occhi di un malintenzionato potrebbe apparire come 2f34e204638e54d0f21a603e73dd7bba.
I malintenzionati dovrebbero conoscere la logica di hashing per potere risalire alla password in chiaro. Inoltre, e anche questa è una semplificazione, la tecnica di crittografia salt viene spesso aggiunta a quella hash. Il salt consiste in alcuni bit aggiunti casualmente alla stringa crittografata che corrisponde alla password che hai scelto.
Insomma, ci sono diverse tecniche che i gestori di siti, social network ecc. applicano per rendere difficile la vita ai malintenzionati. Tuttavia, le fughe di dati avvengono lo stesso e non è raro che sul Dark Web arrivino database contenenti milioni di password. Non sempre si tratta di password ancora in uso e non sempre è sono chiari i siti da cui queste provengono (quindi non sono sempre “utilizzabili”, per fortuna), ma questo non significa che bisogna abbassare la guardia, anzi.
Tu fai benissimo a farti domande del tipo “come sapere se il mio account è stato violato”, e infatti voglio darti sùbito un suggerimento utile in tal senso: cercare le tue credenziali su Have I been pwned?.
Qualora non ne avessi mai sentito parlare, Have I been pwned? è un sito sicuro e fortemente supportato dalla community, che permette di sapere se i propri dati sono stati oggetto di leak. I dati inseriti non vengono registrati in alcun modo.
Collegandoti a questo sito e inserendo l’indirizzo email con cui accedi ai servizi online come Gmail, Facebook, Instagram ecc. saprai dunque se e in quali occasioni il tuo account è stato violato. Puoi vedere i dettagli facendo scorrere la pagina Web verso il basso.
Cliccando sulla voce Notify Me che trovi nel menu in alto e inserendo il tuo indirizzo email, verrai avvertito non appena i tuoi account saranno oggetto di ulteriori violazioni o, meglio, non appena le violazioni saranno rese note. Tra il momento della violazione e il momento in cui un servizio online comunica di essere stato violato possono passare mesi.
Si tratta di un servizio rivelatore: quando ti colleghi al sito, circa a metà pagina, trovi il numero – in costante aumento – delle violazioni, degli account violati e il numero delle volte in cui i dati sono stati pubblicati e diffusi su Internet. Al momento in cui scrivo si contano 552 violazioni e più di 11,4 miliardi di account violati. La fragilità di Internet è osservabile attraverso questi numeri i quali, in verità, potrebbero essere inferiori a quelli reali.
Come alternative, puoi avvalerti di funzionalità simili presenti in gestori di password come 1Password e iCloud Keychain di Apple. L’importante è che tu fornisca i tuoi dati solo a servizi o applicazioni di comprovata affidabilità (fai sempre una ricerca su Google per verificare la reputazione di un sito).
Fatta questa panoramica generale, direi che possiamo fare un paio di esempi pratici di come capire se un account online è stato violato, come procedere in caso di risposta affermativa e come prevenire eventuali intrusioni future.
Come sapere se il mio account Facebook è stato violato
Ti stai chiedendo se il tuo account Facebook è stato violato? Lo immaginavo. Essendo il social network più famoso al mondo, va da sé che attiri le attenzioni di malintenzionati di ogni risma. Ora però concentriamoci sulle soluzioni attuabili.
Controllare gli accessi a Facebook
La prima cosa che ti consiglio di fare è controllare gli ultimi accessi al tuo account Facebook: collegandoti a questa schermata del centro gestione account ed effettuando l’accesso al tuo account (se necessario) troverai, infatti, rispettivamente il riquadro Dispositivi da cui hai effettuato l’accesso con la lista dei device e delle posizioni da dove risulti loggato. Se noti qualche dispositivo o posizione “sospetta”, il tuo account potrebbe essere stato violato.
Cambiare la password
Cambiare la password di Facebook è la prima cosa che devi fare in caso di violazione dell’account.
Per cambiare la password su Facebook, collegati a questa pagina del centro gestione account e, se necessario, accedi al tuo account. Clicca, poi sul nome del tuo account Facebook e visualizzerai tre diversi campi: nel primo dovrai scrivere la password attuale, in quello sotto la nuova password (scegline una sicura) e, nell’ultimo, dovrai digitare ancora una volta la password nuova.
Quando avrai fatto, dovrai cliccare sul bottone blu Modifica password. Il mio consiglio è quello di cambiare la tua password spesso, almeno una volta ogni 30-60 giorni, per evitare intrusioni future e rendere inefficaci eventuali “leak” di dati.
Come dici? I malintenzionati hanno preso possesso del tuo account e non riesci ad accedere per cambiare la password? In questo caso, clicca qui e segnala l’accaduto a Facebook, seguendo le indicazioni su schermo. Saranno poi i responsabili del social network a spiegarti come procedere per recuperare il tuo account Facebook rubato.
Autenticazione a due fattori
Se sei convinto che cambiare la password con una certa regolarità sia una buona norma ma potenzialmente insufficiente a garantire la sicurezza, mi trovi d’accordo.
Per questo motivo voglio parlarti dell’autenticazione a due fattori, al cui proposito ho già scritto un tutorial che oggi voglio approfondire limitatamente alle app di autenticazione.
C’è la possibilità di utilizzare app come Authy (Android/iOS/iPadOS), Microsoft Authenticator (Android/iOS/iPadOS) e Google Authenticator (Android/iOS/iPadOS) per generar dei codici OTP da inserire ogni volta che si esegue l’accesso al proprio account da un nuovo device o browser, aumentando così la sicurezza dell’account (per accedere al quale, dunque, non basterà più la sola password).
Per attivare la 2FA su Facebook, accedi ancora una volta alla pagina dedicata alla sicurezza dell’account, clicca sul nome del tuo account Facebook e poi apponi il segno di spunta sulla voce Usa app di autenticazione e premi su Avanti.
Per prima cosa ti viene chiesto di digitare la tua password attuale. Fatto ciò, apri l’app di autenticazione che hai installato sul tuo smartphone o tablet e, a seconda dell’app che hai scelto, aggiungi il codice OTP di Facebook inquadrando l’apposito QR Code (qui trovi un esempio pratico fatto per Google Authenticator).
Forum di assistenza
Hai accertato che le credenziali del tuo account Facebook sono state intercettate da qualcuno e, benché tu abbia cambiato la password, vuoi saperne di più?
Facebook mette a disposizione un forum, chiamato Community Help, che puoi raggiungere collegandoti a questa pagina e cliccando sul campo Scegli un argomento per poi selezionare la voce Protezione dell’account e digitare nel campo che appare una frase come, per esempio, violazione account per poi cliccare sul bottone Avanti.
Ti verranno restituiti i quesiti simili posti da altri utenti e le relative risposte date dagli esperti, oltre alle procedure ufficiali rilasciate da Facebook attraverso le quali puoi risolvere il problema che riscontri. Una risorsa sicuramente utile anche in casi come quelli di furto di un account.
Come sapere se il mio account Instagram è stato violato
Hai le informazioni sufficienti per difenderti in modo proattivo dalle intrusioni su Facebook, è ora il momento di occuparci di Instagram.
Hai il sospetto che qualcuno abbia avuto accesso al tuo account Instagram e stai provando un senso di panico. Comprensibile. Ho già scritto una guida su questo argomento. A prescindere dalle violazioni avvenute, i consigli per difendere il tuo account Instagram sono del tutto identici a quelli che ti ho dato per la sicurezza del tuo account Facebook. Qui ti spiego come fare.
Controllo degli accessi su Instagram
Spesso, anche in informatica, le soluzioni più semplici sono quelle più adatte allo scopo. Non occorre farsi cogliere dai dubbi se, in breve tempo e con pochi clic, si possono fugare.
Con la funzione Attività di accesso che puoi raggiungere seguendo questo link oppure recandoti in questa sezione del Centro gestione account. Instagram registra ogni luogo e ogni dispositivo da cui ti sei collegato al social network. Non è spionaggio, è una misura di sicurezza che ti permette di avere la certezza che nessuno si sia collegato a tua insaputa al tuo account, oppure la certezza del contrario.
Se noti attività sospette, seleziona il dispositivo non riconosciuto e disconnetterlo, premendo su Esci. Inoltre, ti consiglio di cambiare la tua password e ricorrere all’autenticazione a due fattori. Entrambe cose che ti illustro nelle righe che seguono.
Cambiare password su Instagram
Prendersi cura dei propri account online, che siano relativi a servizi generici o a social network, è un compito necessario. Bastano pochi minuti per aumentarne la sicurezza in modo esponenziale.
Così come ti ho consigliato di fare per il tuo account Facebook, ti sollecito a cambiare la password del tuo account Instagram con ragionevole ciclicità, ovvero ogni mese. Per farlo collegati a questa pagina oppure procedi dall’apposita sezione del Centro gestione account e compila i tre campi che appaiono. Nel primo scrivi la tua password attuale, nel secondo la nuova password che dovrai ripetere nel terzo. Dopo di che clicca sul bottone blu Modifica la password.
Operazione tanto semplice quanto essenziale. Andrebbe fatta con buona regolarità per non essere costretto a farla in tutta fretta. Diventa ancora più utile se unita all’autenticazione a due fattori.
Se i malintenzionati sono entrati in possesso del tuo account e non riesci a cambiare password, scopri come recuperare un account Instagram hackerato tramite la mia guida dedicata al tema.
Autenticazione a due fattori su Instagram
In tutta sincerità, cambiare la password è un buon deterrente, ma la sicurezza è sempre più spesso l’unione di più tecniche di difesa. Tra queste, come sai, c’è l’autenticazione a due fattori che, su Instagram, puoi impostare seguendo questo link e cliccando prima sul nome del tuo account Instagram e poi sulla voce App di autenticazione, in modo da impostare su ON la relativa levetta.
Scegli, dunque, di utilizzare un’app di autenticazione (come quelle di cui ti ho parlato nel capitolo su Facebook e potrai dormire sonni ragionevolmente più tranquilli circa la sicurezza del tuo profilo.
Autore
Salvatore Aranzulla
Salvatore Aranzulla è il blogger e divulgatore informatico più letto in Italia. Noto per aver scoperto delle vulnerabilità nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. È il fondatore di Aranzulla.it, uno dei trenta siti più visitati d'Italia, nel quale risponde con semplicità a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.