L’attività di monitoraggio dei data leak condotta da D3Lab opera su svariate fonti al fine di rilevare il rilascio di informazioni sensibili; l’attenzione viene quindi riposta sia sugli ambienti underground e cyber criminali, sia  sugli strumenti che da questi possono essere utilizzati ed i siti di “paste” rappresentano uno di questi.

Il monitoraggio della piattaforma Pastebin ha portato dall’inizio dell’anno ad identificare la condivisione di innumerevoli pubblicazioni aventi per contenuto dati personali collegabili ad utenti principalmente italiani, senza che ad oggi sia stato individuato uno specifico target essendo i dati ricollegabili a molteplici enti senza distinzione tra settore pubblico e privato.

I Paste rilevati nelle prime settimane di Gennaio riportavano titoli del tipo “10K VERSI” o “11K IT”, distribuiti in varie versioni.

Nella tarda serata di ieri D3Lab ha rilevato la pubblicazione di un altro Paste contenente record esclusivamente italiani, come nei casi precedenti.

Il Paste dal titolo “5K” è stato pubblicato da utente “guest” e riporta la data del 10 Febbraio – ore 23:49. Il Paste risulta attualmente rimosso, ma è stato acquisito dalle piattaforme di monitoraggio in uso presso D3Lab.

La particolarità di quest’ultimo Paste risiede nell’individuazione al suo interno di una rilevante presenza di account appartenenti al dominio cri.it, che fa capo alla Croce Rossa Italiana, a cui si aggiunge un nutrito numero di account sempre relativi alla CRI, ma attestati su domini non ufficiali, facenti capo ad enti locali.

Il Paste contiene un elenco composto da 5000+ account email e relative password in chiaro. La lista degli account presenti nel Paste riporta la seguente struttura: email|password

Top 10 domini coinvolti

Come si evince dal grafico, il dominio principalmente coinvolto è “cri.it” con 1658 record, seguito da numerosi domini email utilizzati in Italia.

Domini collegati a cri.it

Dalle analisi del contenuto risultano coinvolti 75 domini collegati alla Croce Rossa Italina suddivisi per sezioni (province  e regioni) per un totale di 1813 account della CRI. Di seguito il grafico dei principali domini CRI presenti nel Paste ad eccezione del dominio principale “cri.it”.

Conclusioni

Appare piuttosto palese che i dati pubblicati hanno come target l’Italia, sono infatti 4276 gli account email con dominio .it. Inoltre, in data odierna il contenuto del Paste è stato aggiunto al database della nota piattaforma HaveIBeenPwned e probabilmente molte altre entità operanti sul web sono in possesso dei dati personali in esso riportati.

Poichè un aggressore motivato potrebbe facilmente entrare in possesso di tali dati, si consiglia di ricercare il proprio account all’interno della piattaforma HIBP ed eventualmente provvedere all’immediata modifica della password, soprattutto qualora le medesime credenziali vengano utilizzate per l’accesso ad altri servizi.

Nel pomeriggio odierno si è provveduto a inoltrare la segnalazione a CRI, nonostante le difficoltà di individuare l’ufficio/contatto preposto alla gestione delle minaccia in esame.

Nella giornata di lunedì 29 gennaio 2018 D3Lab ha rilevato la condivisione sui canali underground di un nuovo data leak dalla dimensione complessiva di 2 GB contenente le credenziali estratte da oltre 1500 siti web di cui una trentina risultano essere Italiani.

A rendere interessante il dump è proprio la presenza dei dati estratti da siti di media/piccola entità. La divulgazione palesa l’esistenza di team criminali dediti a compromettere siti web in modo indiscriminato al solo fine di metterne in vendita i dati on-line.

Gli oltre 1500 file presenti nel dump contengono dati suddivisi non solo in base al sito di provenienza, ma anche in base a nazionalità e tipologia come visibile nel seguente screenshot

Come anticipato inizialmente sono diversi i siti web Italiani coinvolti in questo archivio, tra cui siti di annunci, incontri, alberghi, università, ecc…:

Vi è inoltre una directory in cui le credenziali vengono suddivise per nazionalità:

dove troviamo il file IT.txt con 417.214 record, relative ad utenze riconducibili a circa 9000 domini eMail italiani.

Sul web la notizia è stata trattata su Reddit Austria e da alcuni siti di cronaca Austriaca (Derstandard e Futurezone).

Attualmente il sito web (pxahb.xyz) sfruttato per la divulgazione dei dati è irraggiungibile, ma tramite la Cache di Google è possibile visualizzare la fonte originale.