la-repubblica-it-logo

Exploit.in: altri 593 milioni di mail e password rubate a banche, tv e ministeri

Dopo Anti Public, un nuovo leak rivela milioni di credenziali attive disponibili su piattaforma di file torrent. Agli indirizzi già in circolazione nel deep web, si aggiungono altri di impiegati e funzionari di Palazzo Chigi, governo, Parlamento, ministeri, Rai e Finmeccanica

di ARTURO DI CORINTO per La Repubblica del 30 Maggio 2017

E’ ACCADUTO di nuovo, ma stavolta l’archivio di email e password rubate e diffuse nel web è più grande di quello rivelato pochi giorni fa, noto come Anti Public. Si tratta di un nuovo ”leak” (in gergo ”diffusione non autorizzata di dati personali”) relativo in parte alla grande mole di account già noti, in parte di altri non ancora noti: si chiama Exploit.in, ed è tuttora cliccabile sotto forma di file torrent su un sito di condivisione di materiali in gran parte illegali. Contiene il 45% di nuove credenziali rispetto al precedente ritrovamento ma anche questo archivio contiene gli indirizzi di impiegati e funzionari di Palazzo Chigi, membri del governo, del Parlamento, dei ministeri, della Rai e di Finmeccanica.

L’esistenza di Exploit.in era già stata anticipata dal sito di Troy Hunt, un esperto di sicurezza informatica che raccoglie tutti i database rubati e li organizza nel proprio silos informatico per consentire a tutti di verificare se il proprio account è stato violato durante un databreach, cioè una violazione dei database.

L’archivio di Troy Hunt è accessibile attraverso il suo sito Have I been pwned? “Sono stato bucato?”, dove basta inserire il proprio indirizzo per sapere se è stato trafugato completo di password oppure no e poi, dietro il pagamento di una piccola somma, vedere in quale occasione sarebbe accaduto, se per effetto delle note violazioni di servizi web come LinkedIn, Yahoo, Twitter, Microsoft, DropBox, degli ultimi anni oppure in altri contesti.

La scoperta. Su queste informazioni e altre voci nel deep web si sono concentrate le analisi di diverse aziende di sicurezza tra cui Yarix, che aveva divulgato per prima l’esistenza di Anti Public il giorno in cui il link era diventato attivo su una piattaforma cloud russa il 21 maggio. Anche stavolta l’azienda italiana ha avvisato prima il ministero dell’Interno e poi ha cominciato l’analisi approfondita del nuovo leak Exploit.in.

La polizia postale sta tuttora verificando i dati trafugati – utili per accedere a molteplici servizi web come Facebook e Skype e non solo alla propria mailbox – ma da una prima analisi emerge che mentre gli indirizzi dei senatori presenti nel vecchio archivio (Anti Public) erano 195, nel nuovo archivio (Exploit.in) ce ne sono 101, e 32 account sono presenti solo in quello nuovo; gli indirizzi con il suffisso governo.it dentro il vecchio erano 111, nel nuovo sono 56, ma tutti diversi dai precedenti, e lo stesso vale per diversi account di Finmeccanica, banche, istituti di credito e così via.

Chi c’è dietro? Probabilmente gli autori del database hanno trafugato i dati per rivenderli al miglior offerente e, dopo che il prezzo delle informazioni è calato (l’archivio era in vendita a 2 bitcoin, quasi 5.000 euro), è stato liberato per essere duplicato, modificato e distribuito su più piattaforme per rendere più difficile rintracciare i responsabili. Per quanto riguarda Exploit.in, l’ipotesi più accreditata è che si tratti di un archivio più aggiornato del precedente, Anti Public. Gli account presenti su Anti Public sono 458 milioni, quelli su Expolit.in sono 593 milioni e il 45% sono nuovi rispetto al primo archivio.

Certo è che Anti Public ha reso note mail e password in uso per account Rai (sono 822 i domini @rai.it), dell’Università La Sapienza di Roma (1472), della Camera dei Deputati (650). A molte di queste email sono risultate associate password come nomi dei gatti, dei figli, parole al contrario: tutte password facilmente individuabili.

Non è ancora chiaro invece se questa volta si tratti di password valide, ma per fortuna alcuni indirizzi diffusi da Exploit.in appaiono datati. Lo sono alcuni di proprietà di star dello spettacolo che hanno lavorato in Rai e altri di professori universitari andati in pensione, come pure quelle di dottorati che oramai lavorano all’estero. Risultano invece attive le credenziali di alcuni direttori Rai e altre di giornalisti.

Che cosa possono farci i criminali? Augurandoci che nel frattempo tutti abbiano modificato le proprie credenziali come ha chiesto di fare la Polizia Postale, la domanda tuttavia rimane la stessa: che cosa è stato fatto con email e pwd rubate? Quanti di noi sono stati spiati? Per quali ragioni? IL nostro computer ha comportamenti strani? Da quanto tempo non aggiorniamo l’antivirus e facciamo una scansione completa dei nostri dati?

Secondo Yarix, lo scenario che dobbiamo prepararci a fronteggiare è quello di un attacco informatico massiccio, in stile WannaCry, che potrebbe addirittura concretizzarsi in un attacco simultaneo alle numerose infrastrutture critiche, istituzioni e aziende i cui sistemi potrebbero essere stati totalmente compromessi e resi accessibili ai criminali informatici.  E questo fa ancora più paura nel giorno in cui gli Shadow Brokers – gruppo di cybercriminali che hanno diffuso i software dell’Nsa utilizzati per l’attacco informatico globale WannaCry – hanno lanciato un nuovo servizio a pagamento, a solo 21mila dollari al mese, per usare le cyberarmi che hanno trafugato alla National Security Agency americana. Cambiare la password, ormai è un obbligo ma potrebbe non bastare più.