Sì, anche email afferenti a sezioni del governo Italiano sono presenti all’interno di Collection#1. Sì, il rapporto con le unita competenti è già attivo su vari fronti. Sì, molti dati non sono recenti ma circa l’80% dei dati presenti in alcune cartelle di Collection#1 sono inediti. Ma iniziamo con ordine.
Il 17 Gennaio, Troy Hunt pubblica sul suo blog l’individuazione di una nuova “collection” (base dati con all’interno credenziali di ignare vittime) denominata Collection#1 (il nome parte dalla struttura dei dati stessi). All’interno della collection vi sono numerosi account fuoriusciti illegalmente da sistemi vulnerabili online oppure da campagne di phishing ai danni di comuni cittadini o da sempre piu frequenti installazioni di Malware direttamente sui PC delle vittime che, restando in ascolto localmente, rubano credenziali appena battute su tastiera.
Leggi anche: I cinque archivi di email rubate sono tuttora scaricabili a pagamento
Molti di questi dati non sono nuovi, magari sono password vecchie non piu utilizzate, ma in alcuni casi sono dati inediti. In questo contesto il significato della parola “inedito” è: username e password non conosciuti dal grande database di leak “HaveIBeenPwned” e quindi, con alta probabilità, sconosciuti alla maggior parte degli operanti al settore. Nel individuare tale collection, Troy Hunt individua altre collections e le comunica alla comunità. La notizia reca molto scalpore ed alcuni ricercatori iniziano a prelevare i file, che per un certo periodo temporale sono stati liberamente raggiungibili su Mega (nota piattaforma di condivisione di grandi dati), per studiarne le principali caratteristiche.
Il 19 Gennaio AGI.IT, attraverso le mani del noto giornalista Arturo di Corinto, riassume lo stato dell’arte spingendosi oltre, riferendo quanto individuato sul blog di un ricercatore dove viene confermato che, attraverso test diretti, numerosi account presenti in alcune cartelle sono inediti.
Oggi, dopo alcuni giorni di estrazione dati (ancora parziale) è possibile confermare che all’interno di Collection#1 vi sono presenti email governative e circa l’80% delle credenziali presenti all’interno delle directories “NEW combo semi private” e “MAIL ACCESS combos” sono da considerarsi “inedite” (che significa, precedentemente non conosciute da HaveBeenPwned”). Il grafico mostra la frequenza dei domini governativi individuati comparando quelli “conosciuti in precedenza” con quelli “non conosciuti in precedenza”.
In Rosso vengono riportati i domini di origine governativa individuati su tutta la Collection#1, potenzialmente questi domini possono essere già “noti” o non recenti, mentre in Blue vengono riportati i domini dentro alle cartelle considerate “nuove” ergo contenenti nuovi informazioni. Causa le restrizioni delle API (Application Programming Interface) di HaveIBeenPwned non è stato possibile verificare ogni credenziale, ma sono stati eseguiti test a campione al fine di confermare la presenza di numerose credenziali inedite (nel grafico in blue).
Osservando la struttura di Collection#1 ed assumendo che il nome della cartella nella quale sono presenti i dati estratti alla vittima sia effettivamente il nome del servizio web dove esse sono state prelevate (ma non si ha reale evidenza di questa affermazione, è una semplice deduzione) si può dedurre da quali “siti-internet” tali credenziali provengano (per meglio comprendere si veda la seguente immagine). In questo caso le credenziali sembrano arrivare principalmente dai seguenti domini: alberghiascoli.it, alberghimilano.it, tuttoaffari.com, ebook service.net, kronoservice.com ed originalintimo.com. Ovviamente non si ha evidenza sulla fuoriuscita di dati da questi servizi online, nè si conosce se in questo momento o in passo essi siano stati vulnerabili o meno.
Si ricorda che se siete in possesso di una email presente all’interno delle collection – lo si puo controllare comodamente inserendo la propria email all’interno dell’apposito box nel sito haveibeenpwned.com – è necessario cambiare immediatamente password. Inoltre si consiglia di abilitare il 2FA (two factor authentication) per impedire l’accesso attraverso il solo utilizzo di password.
Se avete correzioni, suggerimenti o commenti scrivete a dir@agi.it.
Se invece volete rivelare informazioni su questa o altre storie, potete scriverci su Italialeaks, piattaforma progettata per contattare la nostra redazione in modo completamente anonimo.