L'ANALISI TECNICA

Data leak di credenziali della PA italiana, seimila password violate: il rischio è elevato

Raccolti dal Dark Web oltre 6mila credenziali di accesso rubate mediante il malware Stealer e relative ad account collegati a 41 portali istituzionali italiani. Possibile compromissione di password sia di semplici cittadini sia di dipendenti pubblici. Ecco la nostra analisi di quanto successo

09 Mar 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

È stata scoperta un’importante diffusione di dati che impatta su credenziali di accesso rubate tramite malware Stealer, per account di piattaforme online della Pubblica Amministrazione italiana.

I dati fanno emergere problemi di compromissione delle credenziali per un grande numero di account di cittadini ma anche di dipendenti pubblici. NoiPA, Agenzia delle Entrate e MIUR solo per citare alcuni target.

Il contenuto del data leak

La piattaforma DarkTracer, specializzata sulla ricerca OSINT nel Dark Web, ha diffuso infatti un report via Twitter dal quale si evince il risultato di un’analisi operata su materiale intercettato in siti web, forum e chat diffusi nel Dark Web.

WEBINAR
8 Giugno 2022 - 12:00
Governance e sicurezza dei dati. Come gestirli al meglio?
Big Data
Sicurezza

Aggregando questa grande mole di dati, in un foglio di calcolo condiviso su Google Drive, DarkTracer ha reso nota l’individuazione di 1.753.658 credenziali rubate appartenenti a 49.880 siti web governativi in giro per il mondo.

Tra questi, essendo la ricerca incentrata su siti web governativi, si possono facilmente estrarre i dati riguardanti l’Italia e quindi la nostra Pubblica Amministrazione. Dall’estrazione operata nell’immagine che segue, si nota che vengono riportati 41 siti web italiani con un corrispettivo totale di 6.036 credenziali di accesso rubate, facendo notare che per ciascun sito individuato viene indicato il numero di credenziali esfiltrate.

Ordinando la lista per numero di credenziali scoperte, in cima alla lista troviamo che le prime tre posizioni sono occupate rispettivamente dai siti web “telematici.agenziaentrate.gov.it“, “access.mef.gov.it” e “noipa.mef.gov.it“.

Ma all’interno del file si leggono anche nomi come MIUR, siti web di province, ISVAP e UnionCamere.

Va detto che è possibile presumere anche una certa datazione addietro nel tempo, almeno per alcuni di questi furti compresi nei dati oggetto della ricerca. È infatti da sottolineare che alcuni di questi siti web, nel frattempo, hanno anche cambiato le proprie pagine di autenticazione, “abbandonando” ormai da anni il sistema utilizzato al momento del furto delle credenziali.

Per fare un esempio, sottolineiamo il caso di ISVAP, che già da diverso tempo ha addirittura cambiato tutta la compagine della propria struttura, modificando anche nome, ora diventato IVASS e non più ospitato da sotto-dominio del Ministero dello Sviluppo Economico.

L’importanza di questi dati

Che questi dati siano vecchi, nuovi o misti, l’importanza di tutta l’operazione non cambia e va sottolineato che è bene prestare la massima attenzione sulle modalità di accesso cambiando, se il caso, le proprie credenziali quanto prima.

Già da tempo siamo a conoscenza del sistema italiano SPID per l’accesso dei cittadini ai siti web della pubblica amministrazione. Il furto di queste credenziali opera però il massimo rischio su tutti quegli accessi che ancora vengono effettuati senza l’utilizzo della tecnologia di login offerta da SPID, che garantisce invece standard di sicurezza più elevati, rendendo meno efficace anche un eventuale furto, proprio grazie al sistema multi fattore che esso integra.

Ciò che invece viene esposto in questi dati è l’accesso pre-SPID che ancora alcune pubbliche amministrazioni utilizzano come alternativa (non sicura) a SPID, come nel caso di NoiPA (richiesto codice fiscale + password per i dipendenti che vogliono consultare la propria area personale), che permette l’accesso a informazioni riservate del dipendente pubblico, tra cui quelle amministrative e gli statini stipendiali.

Come detto, i dati provengono da furti operati mediante infezione da malware Stealer, dunque è bene precisare che non è il sistema informatico della pubblica amministrazione ad essere stato compromesso (con successivo furto dall’interno), ma i singoli computer di cittadini e dipendenti colpiti dal malware che si son visti le proprie credenziali intercettate dall’organizzazione dietro al software malevolo, che le ha poi diffuse, vendute o scambiate in una delle tante piattaforme presenti nel Dark Web.

Come è stato possibile?

Il risultato di questi dati ci deve far pensare alla debolezza ormai nota dei metodi di autenticazione a fattore singolo (il classico nome utente e password), in quanto un furto di queste credenziali dà elevati poteri con facilità a utenti malintenzionati non autorizzati.

Allo stesso tempo si evidenzia la debolezza dei computer di lavoro sulle postazioni della pubblica amministrazione, spesso utilizzati senza le precauzioni minime di una sicurezza informatica standard, nei quali un malware stealer riesce a entrare (infettando il computer magari con un PDF dalle insolite origini o tramite mail di phishing convincenti non individuate come frode) e svolgere la propria attività.

I malware appartenenti alla famiglia degli info-stealer sono numerosi ed effettivamente diffusi, veicolati da apposite campagne massive o studiate ad hoc e hanno il compito proprio di catturare quanti più dati informativi possibili dal computer della vittima, concentrandosi sulle compilazioni dei forms online, come quelli utilizzati per l’autenticazione nelle varie aree riservate dei siti web che visitiamo.

Uno dei più recenti individuati è il pericoloso RedLine, lo stealer che ruba i dati di browser web frugando anche sui salvataggi di credenziali di accesso (nomi utente e password) conservati sul browser.

Proprio in relazione al passato anno 2021, il CERT italiano di AGID ha pubblicato un’analisi dettagliata sulla diffusione di questa tipologia di software malevolo, che ne fa capire la dimensione e la pericolosa popolarità.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4