Martedì, 30 Maggio 2017 12:00

milioni di email violate su EXPLOIT.IN

Per chi ha saputo nei giorni scorsi di ANTI PUBLIC, sappiate che era solo l'antipasto. Oggi chi si occupa di prevenzione alla pirateria informatica ha individuato una nuova base di dati che colleziona un numero spropositato di credenziali violate, tra cui addirittura funzionari statali e dirigenti politici.

Abbiamo parlato in questo articolo di pirateria informatica. Ma la storia non è affatto finita o risolta.

Recentemente abbia appreso dalla stampa di settore - e non solo - di un mega archivio di credenziali violate un po' di tutti i settori, dal pubblico al privato, liberamente pubblicate sul dark web e quindi accessibili anche al ragazzino munito di un qualunque PC. L'archivio di chiama ANTI PUBLIC.

Ebbene, oggi apprendiamo dell'esistenza di un nuovo archivio con milioni di credenziali attive violate e liberamente disponibili da scaricare su una comune piattaforma di file download di tipo torrent (tanto per capirci, il sistema più usato per scaricare film piratati). Da questa fonte del deep web è possibile oltretutto accedere a credenziali di indirizzi non solo privati e di persone a casaccio, ma anche di impiegati e funzionari di Stato, tra cui persone chiave di Palazzo Chigi, del governo, del Parlamento, dei ministeri e di RAI e FINMECCANICA.

L'archivio in questione è davvero gigantesco, addirittura il più grande mai rivelato sul deep web - ma questo non vuol dire che sia il più grande esistente, è ovvio. In gergo si tratta di un ''leak'', cioè una diffusione non autorizzata di dati personali, tra cui credenziali di violazione già nota unitamente ad altri nominativi celebri e finora non pubblicamente violati.

Si chiama EXPLOIT.IN, è un sito di contenuti scritti in russo e liberamente consultabili anche da internet - quindi anche con un browser comune, senza bisogno di ricorrere a browser anonimo TOR. Contiene alcune pagine dove poter scaricare sotto forma di file torrent i materiali in questione, che, si ricorda, sono assolutamente illegali. Tra i tanti nominativi con email violate, circa il 45 percento dei contenuti riguarda nuove credenziali, quindi materiali nuovi rispetto a quelli già diffusi per altre fonti, tipo il predetto ANTI PUBLIC. In dettaglio, si tratta di impiegati e funzionari di Palazzo Chigi, membri del governo, onorevoli e staff del Parlamento, dei ministeri, dirigenti della RAI e di FINMECCANICA.

Per primo ne ha parlato è il sito di un esperto di sicurezza informatica, tale Troy Hunt, che colleziona e parla di tutti i database rubati, che poi organizza nel proprio archivio informatico in modo da consentire a tutti i visitatri di verificare se il proprio account è stato violato da un eventuale pirata informatico.

Curiosi di sapere se il vostro indirizzo di posta è stato violato? Ecco, andate a questo link per verificarlo: è sufficiente inserire il proprio indirizzo di email per sapere immediatamente se le proprie credenziali sono state trafugate insieme a password oppure no. Ancora, dietro il pagamento di una piccola somma - con cui l'esprerto di informatica rientra nei costi del servizio - potete vedere precisamente in quale occasione la violazione sarebbe avvenuta, ad esempio passando per la violazione di servizi web come LinkedIn, Yahoo, Twitter, Microsoft o DropBox. Dopodiché, prendete le vostre mosse - evitare di diffondere contenuti sensibili piuttosto che cambiare immediatamente la password.

La scoperta è stata effettuata per prima da un'azienda di sicurezza, tale YARIX, che tra l'altro aveva divulgato per prima l'esistenza di Anti Public proprio il giorno in cui il portale con tutte le informazioni violate erano divenute pronte e disponibili su una piattaforma cloud russa il 21 maggio scorso. Anche stavolta, quindi, l'azienda italiana ha avvertito prima il ministero dell'Interno di quanto verificato, e poi ha iniziato l'analisi approfondita del nuovo portale di diffusione di contenuti illegali, il suddetto EXPLOIT.IN.

In dettaglio - la Polizia Postale ci sta lavorando in questi giorni - si tratta di credenziali utili per accedere a molteplici servizi web, come Facebook o Skype. Ancora, mentre gli indirizzi dei senatori presenti nell'archivio di ANTI PUBLIC erano qualcosa come 200, nell'archivio di EXPLOIT.IN ce ne sono un centinaio, di cui più di trenta completamente nuovi. Gli indirizzi con il suffisso (at)governo.it in ANTIPUBLIC erano circa cento, mentre in EXPLOIT.IN ce ne sono più di cinquanta - ma tutti nuovi. Proporzioni simili riguardano i diversi account di FINMECCANICA, banche, istituti di credito e via dicendo.

Vi domanderete chi ci sia dietro queste operazioni illecite. Gruppi di hacker, essenzialmente, che lavorano come singole celle di una squadra - e magari il singolo fa il suo senza neanche conoscere il piano completo. Fatto sta che, verosimilmente, l'obiettivo del gruppo era quello di creare una base dati con le informazioni illecitamente trafugate, per poi rivenderla al miglior offerente. Poi, dopo che il prezzo è calato - l'intero archivio era in vendita a 2 bitcoin, cioè neppure 5.000 euro - è stato reso liberamente fruibile, per essere quindi duplicato, modificato e distribuito su più piattaforme rendendo di fatto molto più difficile rintracciare i responsabili originari.

Pensate che il database di EXPLOIT.IN è un archivio con ben 593 milioni di account violati, contro i 458 milioni di ANTI PUBLIC e soprattutto, rispetto a ques'ultimo, con il 45% sono nuovi credenziali. Ci sono email e password in uso per gli account della RAI, disperse tra 822 domini (at)rai.it, per 1472 account dell'Università La Sapienza di Roma, 650 account della Camera dei Deputati e molto altro. La colpa è anche degli utenti: molte di questi account sono risultati protetti con password di nomi dei propri cani o gatti, dei figli, parole semplicemente svolte al contrario e via dicendo: tutte password facilmente individuabili per un attaccante con tempo e pazienza.

Ci auguriamo che, nel frattempo, gli interessati stanno cambiando la password, come ha giustamente suggerito di fare la Polizia Postale. Fino a tale momento, evidentemente, qualcuno può frugare tra le nostre email alla ricerca di dati preziosi o comunque reimpiegabili.

E' bene anche sapere che, intanto, il gruppo 'Shadow Brokers' - il gruppo di cybercriminali che hanno reso noto i modi individuati dall'NSA per poi produrre il virus ramsonware 'WannaCry' utilizzato per l'attacco informatico globale, hanno attivato in rete un nuovo servizio a pagamento: con soli 21 mila dollari di canone al mese sono disponibili le loro armi informatiche per gli utilizzi che possiamo aquesto punto facilmente immaginare. E' un po' come aver aperto un negozio di attrezzi per ladri. A questo punto, anche solo cambiare la password del PC potrebbe essere necessario ma non più sufficiente..

Ancora una volta, si ricorda che questi contenuti diffusi liberamente sul dark web sono e restano ILLEGALI: quindi, un conto è sapere che esistono e dove trovarli - ne parlano tutti i siti specializzati in materia di sicurezza informatica - altro conto è andare a scaricare tali contenuti e magari fare la prova per vedere se e come funzionano. Ecco, volete un consiglio che vi evita futuri guai? Non fatelo.

 

FONTE: http://www.repubblica.it

Letto 100 volte