Da ieri gira la notizia che sono stati trafugati circa 5 milioni di account Gmail con tanto di password. Se ne è parlato prima di tutti su Russia Today, perché le informazioni sono state pubblicate proprio su un forum russo. Inizialmente non ne ho parlato perché il forum in questione non era raggiungibile e non potevo verificare l'attendibilità della notizia. Oggi il sito in questione è tornato online, ieri probabilmente c'erano troppe visite che hanno mandato giù il server. Ho potuto così verificare il file contenente tutti gli account presumibilmente rubati, anche se ora è stato depurato delle password per ragioni di sicurezza, e per prima cosa ho provato a ricercare i miei account Gmail. Con grande sorpresa ho scoperto che uno di questi è contenuto nella lista e che quindi non era più sicuro. Seguendo i consigli di Google, che si è detta all'opera per cercare di scoprire cosa è accaduto, ho immediatamente cambiato la password e per maggiore sicurezza ho attivato la verifica in due passaggi. Visto che la lista di account si è dimostrata essere reale e ne ho la prova dal momento che c'è una mia email, nulla vieta che vi sia anche una delle vostre. A questo proposito ho deciso di pubblicare una piccola guida su come fare a verificare e come proteggersi in futuro da problemi del genere.

account-rubati

Il primo passo è recarsi su questa pagina e scaricare il documento che trovate linkato nel primo post. È un file compresso con 7zip che potete aprire con molti programmi, tra cui il gratuito keka. Una volta ottenuto il documento di testo dovete aprirlo con un'app qualsiasi (consiglio TextWrangler) e ricercare il vostro o i vostri account. Se sono contenuti nella lista cambiate immediatamente la password, altrimenti potete passare direttamente al punto successivo.

La verifica in due passaggi è uno strumento molto utile per tenere al sicuro la propria casella di posta, anche se ha degli aspetti negativi che rendono più complesso l'accesso. Per prima cosa dovete loggarvi su google con il vostro account per poi recarvi su questa pagina ed iniziare la configurazione. Vi verrà richiesto un numero di telefono, se non lo avete già inserito, e vi verrà inoltrato un sms con un codice di controllo da inserire nell'apposito campo di testo. Con tale procedura Google considererà attendibile il vostro computer, per cui tutte le volte successive in cui cercherete di accedere a gmail da quella stessa postazione sarà sufficiente solo la password. Al contrario ogni volta che tenterete l'accessso da un computer diverso, la prima volta dovrete ripetere la procedura di autenticazione tramite sms sullo smartphone.

L'aspetto negativo è che da questo momento non vi funzionerà più l'accesso all'account Google dalle app di terze parti, compresa la posta su iPhone, iPad, smartphone Android, Apple Mail, ecc.. Infatti anche inserendo la nuova password il dispositivo sarà considerato inattendibile e non riuscirete a loggarvi. Per risolvere questo problema dovrete generare una password ad hoc per ogni postazione, che va creata nella sezione Sicurezza della pagina Account, alla voce "Password per le app".

password-per-le-app

Nella prima tendina scegliete l'area a cui volete avere accesso (posta, calendario, contatti, YouTube, ecc..) e poi date un nome alla postazione (iPhone, iPad, Mac, PC Windows o altro). A quel punto bisogna cliccare su Genera e verrà visualizzata una nuova password, sarà questa da inserire nell'apposita app del nuovo dispositivo per potersi loggare. È un po' macchinoso ma in questo modo un malintenzionato non potrà mai accedere al vostro account. Anche se dovesse trovare la password gli verrà richiesta l'autenticazione via sms quando cercherà di accedere dal suo computer e per utilizzare l'account nelle app servirà una password generata al momento dalla vostra area riservata (a cui non può accedere visto che serve anche il vostro smartphone).

[AGGIORNAMENTO] secondo Google solo il 2% degli account presenti in quella lista hanno veramente le password corrette, perché a quanto pare non sono stati hackerati i server di BigG ma quelli di siti minori in cui ci si loggava con le caselle gmail. In pratica se usate la buona norma di non adoperare la stessa password della casella di posta per gli account sui siti esterni, non dovrebbe esserci alcun problema anche se la vostra email è presente in quella lista. In effetti inserendo la mia email sul sito isleaked.com (che esegue un controllo senza scaricare il file con il database completo) mi dice che è stata individuata tra quelle a rischio, ma le prime due lettere della password non corrispondono a quella reale. Ad ogni modo configurare la verifica in due passaggi è consigliabile per mettersi al sicuro da eventuali problemi futuri (un ringraziamento a jayjay77 per il contributo).