Anche marzo verrà ricordato per la pubblicazione online di un enorme database di informazioni sensibili. Dopo i leak dei mesi scorsi, noti con il nome Collection, è emerso in queste ore un “tesoro” di dati privati da 150 GB contenente oltre 808 milioni di record suddivisi in quattro categorie differenti. L’archivio maggiore, chiamato “mailEmailDatabase”, mette a disposizione indirizzi di posta elettronica, numeri di telefono, Cap, indirizzi delle abitazioni e molti altri dettagli che faranno sicuramente contenti gli orchestratori di campagne di phishing. A dare notizia della scoperta è stato il ricercatore Bob Diachenko di Security Discovery, il quale ha scovato il database (un’istanza di Mongodb) lo scorso 25 febbraio.
“Dopo una prima verifica sono rimasto colpito dall’enorme numero di email pubblicamente accessibili da chiunque”, ha scritto Diachenko in un blog post. Le informazioni non sono protette né da password né da crittografia. Il ricercatore ha incrociato la propria scoperta con i database già presenti nel servizio HaveIBeenPwned di Troy Hunt, che permette di capire se un indirizzo mail sia finito in data leak precedenti.
“Sono giunto alla conclusione che non si tratti di fughe già note, ma di un dataset completamente nuovo”, ha spiegato l’esperto. “Sebbene non tutti i record contengano informazioni dettagliate sui proprietari delle caselle di posta, un gran numero di righe sono accurate”. Secondo Diachenko, la responsabile della fuoriuscita di dati è la società Verifications.io che offre servizi di email marketing e, in particolare, di verifica degli indirizzi per aumentare il tasso di consegna delle campagne pubblicitarie. Il sito dell’azienda al momento non è raggiungibile.
Evidentemente, le informazioni validate da Verifications.io sarebbero state conservate in chiaro. Contattata dal ricercatore, la società ha messo offline sia il proprio sito sia il database e ha spiegato che si tratterebbe di informazioni pubbliche e non riconducibili ai clienti. “Perché allora chiudere tutto?”, si è chiesto l’esperto, che ha agigunto: “Ho trovato anche credenziali di accesso a server Ftp per caricare o scaricare liste di email. Possiamo solo ipotizzare che non si trattasse di dati pubblici”.
Anche Citrix finisce nei guai
Ma in queste ore a tenere banco è stato anche l’attacco ai sistemi interni di Citrix. La società di virtualizzazione è stata presa di mira da un gruppo di hacker, presumibilmente iraniani del team Iridium, che è riuscito a trafugare almeno 6 TB di documenti sensibili contenenti anche diversi segreti industriali. I pirati informatici, secondo quanto ricostruito finora dall’Fbi, avrebbero agito a dicembre aggirando anche i complicati sistemi di autenticazione a due fattori attivati da Citrix a difesa della propria rete.
“L’incidente è stato catalogato come parte di una sofisticata campagna di cyberspionaggio supportata da potenze straniere e diretta a governi, complessi militari e industriali, utilities, istituti finanziari e multinazionali impegnate in settori critici per l’economia”, ha sottolineato la società di sicurezza Resecurity, che sarebbe stata la prima organizzazione ad allertare sia l’Fbi sia Citrix dell’intrusione.
“Secondo le nostre analisi”, ha spiegato l’azienda, “gli attaccanti hanno sfruttato un insieme di strumenti, tecniche e procedure per ottenere l’accesso ad almeno 6 TB di documenti archiviati nella rete enterprise di Citrix, fra cui corrispondenze email, file condivisi e altri servizi utilizzati per la gestione dei progetti e il procurement”. Le affermazioni della piccola società di cybersecurity non sono però al momento verificabili.
“Citrix si è attivata per contenere l’incidente”, ha sottolineato in una nota Stan Black, Csio del vendor. “Abbiamo avviato un’investigazione forense e assunto un provider di soluzioni di sicurezza per assisterci, oltre ad aver fatto tutto il possibile per mettere in sicurezza la nostra rete interna […]. Per ora nulla ci fa pensare che i nostri prodotti o servizi siano stati compromessi”. Secondo quanto riferito da Black, per condurre l’attacco gli hacker avrebbero sfruttato una tattica nota come password spraying, che permette di sfruttare password deboli per mettere un piede nei sistemi della vittima e, in un secondo momento, aggirare progressivamente gli altri livelli di difesa.