L’ennesimo data breach ha esposto password ed altre informazioni sensibili: 184 milioni di dati di credenziali di account unici in un database da 47Gigabyte senza password, non crittografato e dunque a libero accesso.
Il ricercatore di sicurezza informatica Jeremiah Fowler ha rivelato la scoperta di un enorme database online contenente nomi utente, password, email e Url di una serie di applicazioni e siti web, tra cui Google, Microsoft, Apple, Facebook, Instagram e Snapchat, sono stati memorizzati in un file. Il database conteneva anche credenziali per conti bancari e finanziari, piattaforme sanitarie e portali governativi.
“Questo ennesimo maxi-dump da 184 milioni di credenziali, raccolte con infostealer e lasciate in bella vista su un database non protetto, non è solo l’ennesima prova di quanto siamo esposti: è l’ennesima prova di quanto ce ne freghiamo. Password in chiaro, anche di account .gov, diffuse come figurine, sono il frutto di una sicurezza personale trattata con la stessa leggerezza di una playlist su Spotify”, commenta Sandro Sana, Ethical Hacker e membro del comitato scientifico Cyber 4.0.
Infatti il file non era criptato: non c’era alcuna protezione con password. La violazione di dati non ha trovato alcun ostacolo, ma ha aperto le porte a milioni di dati sensibili.
“La scoperta del database mette in luce ancora una volta i gravi rischi legati alla diffusione incontrollata di informazioni sensibili, ottenute probabilmente mediante infostealer”, conferma Pierluigi Paganini, analista di cyber security e Ceo Cybhorus.
Indice degli argomenti
Maxi data breach: coinvolti anche Google, Microsoft, Apple, Facebook
In base alla sua analisi, Fowler ha stabilito che i dati sono stati catturati da una sorta di malware infostealer. Un popolare strumento utilizzato dai criminali informatici, un infostealer è progettato per catturare nomi utente, password e altri dati sensibili da siti e server violati. Una volta che i criminali mettono le mani sui dati, possono usarli per lanciare i propri attacchi o per vendere le informazioni sul dark web.
Dopo aver trovato il database, Fowler ha contattato il provider di hosting, che lo ha rimosso dall’accesso pubblico. Poiché il provider non ha voluto rivelare il nome del proprietario del file, Fowler ha dichiarato di non sapere se il database sia stato creato legittimamente e poi esposto accidentalmente o se sia stato usato intenzionalmente per motivi dolosi.
Per verificare la validità delle informazioni, Fowler ha inviato un’email a molte delle persone elencate nel file, dicendo loro che stava effettuando una ricerca su una violazione dei dati. Diverse persone hanno confermato che i record contenevano password di account ed altri dati validi.
Nel database spiccano 220 indirizzi email governativi che provengono da 29 Paesi, compresi Usa, Cina e Regno Unito, mettendo a rischio la sicurezza nazionale.
“Preoccupante è la presenza di credenziali aziendali e governative, che apre la strada a campagne di ransomware, spionaggio industriale e compromissione di infrastrutture critiche“, mette in guardia Paganini.
“Molte persone trattano inconsapevolmente i propri account di posta elettronica come un cloud storage gratuito e conservano per anni documenti sensibili, come moduli fiscali, cartelle cliniche, contratti e password, senza considerare quanto siano delicati”, ha dichiarato Fowler. “Questo potrebbe creare seri rischi per la sicurezza e la privacy se i criminali dovessero accedere a migliaia o addirittura milioni di account email”.
Infostealer, i rischi cyber
“Un database non protetto contenente oltre 184 milioni di credenziali rappresenta una minaccia concreta per utenti, aziende e istituzioni”, spiega Paganini: “Gli infostealer sono elementi abilitanti nell’ecosistema cybercrimine: una volta che i dati vengono rubati, possono essere venduti nel dark web o usati per attacchi mirati“.
Tra le conseguenze più pericolose “vi sono il credential stuffing, il furto di identità e gli attacchi di spear-phishing“.
Come mitigare i rischi dei data breach
Secondo Fowler, la violazione sarebbe avvenuta mediante infostealer, per sottrarre credenziali dai dispositivi infetti.
I vettori d’attacco possono essere phishing, download infetti o malware che si mascherano da false applicazioni.
La prima regola è la consapevolezza. Occorre mantenere i sistemi, i software e le app aggiornati, effettuare download solo da marketplace ufficiali e non cadere vittime di phishing.
“L’incidente dimostra l’importanza dell’educazione digitale“, avverte Paganini: “Molti utenti archiviano informazioni delicate nelle proprie e-mail senza protezioni adeguate, diventando inconsapevolmente bersagli ideali. Serve maggiore consapevolezza sui processi di autenticazione sicuri e sulla necessità di proteggere i propri dati digitali come se fossero beni di valore”.
Dai data breach ci si protegge grazie a misure di sicurezza tecniche ed organizzative. Poiché l’esposizione di 184 milioni di credenziali può condurre a campagne di credential stuffing automatizzate, è necessario che gli utenti non riutilizzino mai le stesse password e anzi si dotino di password manager che generino credenziali uniche e complesse per ciascun servizio.
Per contrastare attacchi di phishing bisogna adottare sistemi autenticazione a due fattori (2FA) e passkey.
“Chi ancora oggi non usa un password manager, non attiva l’MFA e riutilizza la stessa password per tutto, dovrebbe capire che non si tratta più di ‘se’, ma di ‘quando’ verrà colpito. E spesso i danni non si fermano alla persona, ma travolgono intere organizzazioni. Serve più awareness, sì, ma soprattutto serve più responsabilità”, mette in guardia Sandro Sana.
Bisogna inoltre monitorare gli account controllando eventuali attività sospette, abilitando notifiche in tempo reale per verificare potenziali accessi non autorizzati.
Dall’abbondanza di termini come “bank” e “wallet” nei dati, è probabile che dati finanziari critici siano stati compromessi. Conviene non solo monitorare gli estratti conto di carte e conto bancari, ma sostituire le carte e mettere in sicurezza il conto.
Formazione e simulazioni su ingegneria sociale e phishing sono la via maestra per evitare i rischi legati al fattore umano. Ma non serve solo sensibilizzare. Occorre mettere paletti e rilevare i comportamenti anomali, adottando anche politiche di privilegio minimo.
