NordVPN: 54 miliardi di cookie rubati

Sul dark web ci sono più di 54 miliardi di cookie rubati e poi trapelati, secondo l’ultima ricerca condotta da un ente indipendente e pubblicata da NordVPN. Se i cookie sono noti principalmente come strumento essenziale per navigare online, molti utenti non sanno che sono anche uno dei punti di accesso più usati dagli hacker per rubare dati e mettere le loro mani sui sistemi sensibili.

“Grazie alle finestre pop-up che chiedono agli utenti di autorizzare i cookie, vediamo questo strumento come necessario, pur essendo uno degli elementi più fastidiosi della navigazione online. Molti, però, non sanno che se un hacker prende possesso dei tuoi cookie attivi, potrebbe non avere bisogno di conoscere nomi utenti, password o sistemi di autenticazione a più fattori per prendere il controllo dei tuoi account,” ha aperto Adrianus Warmenhoven, consulente di cybersecurity di NordVPN.

Come funzionano i cookie e quali rischi si corrono in caso di furto?

Per spiegare i rischi, un esperto di NordVPN ci spiega come funzionano i cookie:

“Per prima cosa, è importante capire che i cookie sono fondamentali. Rappresentano infatti l’unico strumento disponibile per far “comprendere” quale utente stia adoperando un certo dispositivo. Senza cookie, il server non può verificare l’identità dell’utente. Messa in parole semplici, quando l’utente accede con password e sistema di autenticazione a più fattori (MFA), il server assegna un cookie all’utente. La volta successiva che lo stesso utente ritorna con questo cookie, il server lo riconosce e sa che l'utente ha già effettuato l'accesso. In questo modo, non sarà necessario chiedere nuovamente le stesse informazioni,” ha precisato Adrianus Warmenhoven.

Detto questo, se un cookie viene rubato mentre è ancora attivo, un aggressore digitale potrebbe accedere all’account cui è collegato senza password o MFA.

Oltre ai già citati dati sulla sessione, i cookie possono anche contenere informazioni sensibili come nomi, posizione, orientamento, taglia, ecc.

Quali tipologie di cookie sono state rilevate?

Dei 54 miliardi di cookie analizzati, il 17% era attivo.

“Anche se potrebbe sembrare un numero piccolo, è importante capire che si tratta di una quantità gigantesca di dati personali, per un totale di quasi 10 miliardi di cookie. E, anche se i cookie attivi presentano un rischio maggiore, quelli inattivi non sono del tutto innocui, dato che possono intaccare la privacy degli utenti, oltre a essere potenzialmente usati dagli hacker per conservare informazioni da utilizzare in modo illecito o manipolare in seguito”, ha continuato Adrianus Warmenhoven, consulente per la cybersecurity di NordVPN.

Più di 2,5 miliardi di cookie del dataset provenivano da Google, e altri 692 milioni da Youtube. Sono più di mezzo miliardo invece quelli di Microsoft e Bing.*

Adrianus Warmenhoven ha anche sottolineato che: “I cookie provenienti da account così importanti sono ancora più pericolosi perché potrebbero essere usati per sottrarre altre credenziali di login attraverso, ad esempio, sistemi di recupero della password, sistemi aziendali o SSO (Single Sign On)”.

Per quanto riguarda la suddivisione geografica dei dati, la maggior parte dei cookie proveniva da Brasile, India, Indonesia, Stati Uniti e Vietnam. Il Paese più colpito in Europa risulta essere la Spagna, con 554 milioni di cookie in totale. E, se il Regno Unito è sembrato apparentemente meno coinvolto, posizionandosi al 21° posto per numero complessivo di cookie, oltre la metà di questi erano attivi. In totale, erano rappresentati 244 Paesi e territori nel dataset di cookie, mostrando quanto fosse ampia la portata di questi malware.

La categoria principale (10,5 miliardi) è “assigned ID” (cookie di identificazione generale), seguito da “session ID” ovvero identificatore di sessione (739 milioni): questi cookie vengono assegnati o connessi a utenti specifici per mantenere le loro sessioni attive o identificarli sul sito al fine di fornire servizi. Subito dopo, cookie di autenticazione (154 milioni) e di login (37 milioni).

Nome, e-mail, città, password e indirizzo sono stati i più comuni nella categoria delle informazioni personali.

“Se si uniscono tutti questi dettagli con età, taglia, genere od orientamento, si può tracciare un’immagine molto intima dell’utente, perfetta per lanciare offensive o truffe ben strutturate,” ha sottolineato Adrianus Warmenhoven.

Sono state utilizzate fino a 12 tipologie di malware per rubare questi cookie. Quasi il 57% è stato sottratto da Redline, uno degli infostealer e keylogger più noti.