giovedì 23 aprile 2020

Dati e dark web: un business illegale sempre in crescita


Non basta mai ribadire, evidentemente, quanto sia ormai divenuto fondamentale organizzare una seria e solida protezione dei dati. Non c'è soltanto il rischio, per le aziende, di incorrere in sanzioni: data breach e data leak hanno un risvolto ben più pesante, quello di andare a violare il diritto fondamentale di ogni individuo alla privacy. Il GDPR ne ha fatto la colonna portante, non è un caso che sia un regolamento che protegge indubbiamente la privacy, ma ponendo l'attenzione principalmente sulla protezione del dato. E' forse ridondante ribadire, ma repetita iuvant, che il GDPR è anche uno strumento che, razionalizzando raccolta e memorizzazione dei dati, migliora anche l'organizzazione aziendale ed mitiga i rischi di subire incidenti, con conseguente danno economico e reputazionale. 

Torniamo sul punto, anche se ne abbiamo scritto molto spesso, perchè ancora, nonostante il GDPR sia in vigore già da quattro anni e applicato da due, le notizie di data breach e data leak continuano a susseguirsi. Nelle ultime due settimane ci sono stati vari incidenti eclatanti, che hanno di nuovo fatto scattare l'allarme sulla protezione dei dati. Due almeno riguardano aziende italiane. 

1. 267 milioni di profili Facebook in vendita nel dark web
Alcuni ricercatori di sicurezza hanno trovato in vendita nel Dark web, a circa 600 dollari, oltre 267 milioni di profili Facebook. Nessuno dei record include le password dei profili, ma vi sono stati raccolti tutti i dati e le informazioni utili a condurre attacchi di phishing o via SMS: alcuni contengono nome e cognome dell'utente, numero di telefono e il loro ID unico di Facebook. Questi dati si trovavano su un database ElasticSearch aperto: la maggior parte dei profili riconducono ad utenti statunitensi. La buona notizia è che il provider che ospita il database lo ha messo offline una volta contattato dai ricercatori, ma non si sa per quanto tempo sia stato online. Il problema è che, poco dopo, è stato messo online un secondo server contenente gli stessi dati più 42 milioni di record aggiuntivi. Questo secondo server è stato online poche ore, perchè è stato rapidamente attaccato da un attore sconosciuto che ha perfino lasciato un messaggio ai proprietari invitandoli a proteggere i propri server. Nella nuova versione del database si trovano molti più dati che nella prima: indirizzo email dell'utente, indirizzo, data di nascita e sesso. Non è chiaro chi sia il possessore di questi server: per i ricercatori di sicurezza è stato allestito da cybertattaccanti che hanno utilizzato l'API di Facebook per raccogliere questi dati. 

E' utile ricordare che il fatto che questo database non contenesse le password degli account non rende meno pericolosa la situazione: i dati contenuti in questo database sono utili per creare campagne di spear phishing, per inviare SMS simulando comunicazioni di Facebook, per imeprsonare altre persone ecc... 

2. i dati di 3.000 dipendenti Unicredit in vendita nel dark web
Veniamo in Italia: la società di cybersicurezza Telsy ha trovato in vendita nel dark web i dati di circa 3.000 dipendenti Unicredit, finiti online a seguito di un attacco hacker. I dati sono in vendita in almeno due diversi forum di hacking, l'autore dei post è lo stesso e si firma con la sigla c0c0linoz. Tra le informazioni sottratte vi sono indirizzi email, numeri di telefono, nomi e cognomi e password cifrate. Da parte sua Unicredit ha fatto sapere di essere già a conoscenza di questo "presunto" (ormai potremmo dire conclamato) caso di data breach avvenuto in Romania e connesso ad una piattaforma di recruiting di personale fornita e gestita da terze parti. Unicredit ha specificato che non ha trovato alcuna prova di accesso ai propri sistemi. 

Il database sembra genuino e sembra essere il risultato di un attacco di tipo SQL  injection, una tecnica che prevede di iniettare codice dannoso direttamente dentro le applicazioni. Da Telsy spiegano che il database potrebbe anche essere conseguente alla compromissione della rete della banca, ma non ci sono prove al momento che sostengano questa ipotesi. 

I dati sono in vendita per 10.000 dollari per 150.000 righe di dati o per 1.000 dollari per i soli nomi dei dipendenti: il pagamento è richiesto in criptovaluta Monero. 

3. Email.it: 600.000 account di posta in vendita nel dark web
Questo è l'altro caso eclatante di data breach che ha riguardato recentemente l'Italia. Il provider italiano di posta elettronica Email.it ha subito una violazione dei sistemi informatici da parte di un gruppo che si è auto definito "NoName hacking Group". Sono stati 600.000 gli account email compromessi, immediatamente messi in vendita nel dark web. Alle spalle di questa pubblicazione dei dati pare esserci un tentativo di estorsione fallito. Dopo aver avuto accesso ai datacenter di Email.it più di due anni fa (gli attaccanti hanno spiegato di essersi inseriti nella rete come minaccia persistente), gli hacker hanno comunicato alla società la loro irruzione nei server, offrendosi, sotto compenso, di non pubblicare i dati e, anzi, di risolvere la falla sfruttata per il data breach. L'azienda si è rifiutata e quindi, con un prezzo variabile tra gli 0.5 e i 3 bitcoin (3.300 e 20.200 euro), i dati sono stati messi in vendita nel dark web. 

Tra i dati rubati si trovano informazioni estremamente sensibili: ID unico, indirizzo email, password in chiaro, contenuti ed allegati email transitati sul servizio tra il 2007 e il 2020. Anche gli SMS inviati tamite il servizio apposito di email.it sono stati integralmente intercettati. Ma, ben peggio, gli attaccanti sono riusciti anche ad esfiltrare il codice sorgente di tutte le web app di Email.it, compreso lato admin e lato utente. 

Nessun commento:

Posta un commento