Non tutti gli hacker vengono per nuocere. Troy Hunt (nella foto) fino a qualche anno fa era solo un dotatissimo esperto di cybersecurity australiano. Nel 2013 Adobe (la software house che produce, fra gli altri, Acrobat e Photoshop) è vittima di un attacco hacker senza precedenti: 153 milioni di account vengono sequestrati, e con loro i rispettivi username e password. 38 milioni di utenti si vedono derubati di informazioni personali come identità e carte di credito.
Da quel momento Hunt decide di mettere la sua esperienza a disposizione delle vittime quotidiane dei pirati del web. Così fonda “Have I Been Pwned?” (HIBP), un sito online che rivela agli utenti quali fra le loro password e i loro indirizzi e-mail sono stati oggetto di hackeraggio. Il nome è una versione slang del verbo “to own”, e potremmo tradurlo come: “Sono stato compromesso?”. Una domanda cui il sito di Hunt riesce a dare una risposta in meno di un secondo. Basta inserire il proprio indirizzo e-mail (da pochi mesi lo stesso si può fare per le password) nella barra di ricerca e incrociare le dita.
Una schermata rosso fuoco dove capeggia la scritta “oh no-pwned” porta brutte notizie: l’indirizzo email è stato hackerato in passato e non è più sicuro, meglio cambiare alla svelta. Segue un breve rapporto con la lista esatta degli attacchi di pirateria informatica di cui il malcapitato è rimasto vittima. Alcuni sono oltremodo noti: il colpo ad Adobe del 2013, la breccia nel cuore di Dropbox del 2016 con cui 68 milioni di informazioni sono state vendute online e nello stesso anno la compravendita sul dark web di 164 milioni di profili Linkedin.
Se invece il sito risponde con una schermata verde si può tirare un sospiro di sollievo, per il momento. Per evitare di esporre i propri dati ai cybercriminali senza rendersene conto “Have I Been Pwned?” offre infatti il servizio (gratuito) “Notify Me”: inserito il proprio recapito, il database di Hunt darà conto in futuro di eventuali attacchi.
Perché fidarsi di Troy Hunt? Se lo sono chiesto perfino l’FBI e la Polizia Federale Australiana, che hanno sottoposto l’ingegnere con base nella Goald Coast a diversi interrogatori, senza mai trovare un capo di accusa. Il modus operandi varia di volta in volta: Hunt ottiene le informazioni rubate dalle liste pubblicate dagli stessi hacker una volta concluso il colpo, spesso sul dark web. Il sistema HIBP archivia username, indirizzi email e password delle vittime, mentre cancella informazioni più sensibili come i numeri di carte di credito.
Raccogliere decine di milioni di dati richiede talvolta 4-5 anni. A meno che non siano gli stessi hacker a contattare Hunt per facilitargli il lavoro. Sembrerebbe paradossale, eppure non tutti i ladri cyber si macchiano la fedina penale per riempire il conto in banca. In molti sono spinti dalle motivazioni più imprevedibili: una su tutte la fama e la gloria nel dark web, altre volte si tratta di operazioni a sfondo ideologico.
I risultati di HIBP sono oggi sotto gli occhi di tutti. Negli ultimi 4 anni Hunt e il suo team hanno dato un contributo vitale alla caccia dei cyber-criminali, non di rado risolvendo casi dalle conseguenze drammatiche. Come avvenne per l’attacco del 2015 ad Ashley Madison, popolare sito di incontri a luci rosse, quando milioni di utenti furono esposti all’occhio pubblico. L’americano John Gibson, padre di famiglia e pastore protestante, era in quella lista e si è tolto la vita.
O con il perverso caso della V-Tech, un’azienda di giocattoli di Hong-Kong, cui vennero rubate 5 milioni di informazioni sui genitori acquirenti e 200.000 (con tanto di foto e registrazioni audio della voce) sui bambini.
Di questi tempi è difficile che un cacciatore di hacker rischi di rimanere disoccupato: secondo il rapporto Europol del 27 settembre, solo nel 2016 sono stati violati più 2 miliardi di dati sensibili.
L’ultima intuizione di Hunt è dello scorso 30 agosto, quando ha aiutato l’intelligence a fare i conti con l’operazione Spambot: 711 milioni di email raggiunte da un malaware, partite da un server in Olanda rintracciato grazie al fiuto del creatore di HIBP.
Insomma, oggi Hunt e la sua creatura sono pienamente legittimati nella lotta al crimine online e ritenuti affidabili. Nel 2016 persino la Microsoft si è messa sulle sue tracce, nominandolo Direttore regionale per l’Australia. E lo scorso febbraio Have I Been Pwned? ha festeggiato 1 milione di iscritti verificati.
(Foto tratta da: Wikipedia)
