(Immagine generata dall'AI)
L’hanno soprannominata “la madre di tutte le fughe di dati“ o, in inglese, Mother of all Breaches: 26 miliardi di righe di dati, raggruppati in 3.800 cartelle, per un peso di 12 terabyte circa. Questi i numeri da record del data leak recentemente scoperto e svelato al mondo da Bob Dyachenko, ricercatore di sicurezza informatica e giornalista di SecurityDiscovery.com, insieme alla squadra del sito Cybernews. Un bottino immenso, frutto di migliaia di vecchi data breach, che i ricercatori hanno individuato su una “istanza aperta, il cui proprietario difficilmente verrà mai identificato”.
Si spazia dalle piattaforme di gaming come Weibo (da cui provengono ben 504 milioni di record) e Zynga ai software utilizzati anche in ambito professionale come quelli di Adobe e Canva, da applicazioni come MyFitnessPal a social media come LinkedIn (251 milioni di dati), Twitter (281 milioni), MySpace e Wattpad, e ancora servizi di cloud hosting come Dropbox, siti per incontri come Badoo e servizi di streaming video come Youku. Inoltre non mancano dati sottratti a organizzazioni governative in Paesi come Stati Uniti, Germania, Brasile, Filippine e Turchia.
Il bottino include credenziali di accesso ma anche dati sensibili, potenzialmente utilizzabili per svariati attacchi informatici, furto d'identità, furto di denaro, truffe, phishing mirato o nella migliore delle ipotesi semplice spam. Considerando la diffusa abitudine di “riciclare” le password per più account, il rischio generale aumenta perché attori malevoli potrebbero, con le credenziali ottenute, accedere anche ad account di piattaforme mai toccate da data breach.
“Negli ultimi anni Proofpoint ha osservato che i criminali informatici utilizzano tattiche che cercano sempre più spesso di accedere ai dati e non per forza di comprometterli, ponendo attenzione particolare al furto di identità”, ha commentato Matt Cooke, cybersecurity strategist Emea di Proofpoint. “Questo ultimo leak sembra riunire dati provenienti da violazioni storiche, ma la vasta quantità di informazioni disponibili significa che è probabile che nelle prossime settimane gli attori malevoli possano effettuare attacchi basati sulle credenziali”.
Le 3.800 cartelle corrisponderebbero ciascuna a un differente attacco informatico realizzato in passato, dunque non si tratterebbe di furti recenti ma piuttosto di una compilation di molteplici violazioni (Compilation of multiple breaches, Comb per gli addetti ai lavori).
Lo strumento di verifica dei data leak di Cybernews, infatti, riporta informazioni su circa 2.500 fughe di dati, contro le 3.800 di Moab, e 15 miliardi di record pubblicati, versus 26 miliardi: lo scarto è ampio, tant’è che anche al netto dei dati (probabilmente) duplicati l’archivio di Moab probabilmente contiene anche informazioni mai pubblicate finora. Ma chi c’è dietro? I ricercatori ipotizzano un attore malevolo, un data broker o qualche servizio che raccoglie e conserva enormi quantità di dati.
Come arginare il rischio di attacchi legati a Moab
In questo momento il team di Cybernews sta aggiornando lo strumento di verifica dei data leak con le informazioni contenute in Moab, e nel frattempo per verificare se i propri dati siano stati oggetto di violazione esistono simili servizi gratuiti, come quelli di Haveibeenpwned e di Malwarebytes.
Proofpoint consiglia anche di “convalidare sempre direttamente le notifiche di violazione con i siti, poiché, anche se non ne abbiamo ancora alcuna prova, è possibile che i truffatori sfruttino le notifiche di violazione come mezzo per ingannare la loro prossima vittima. Il fragore pubblico che circonda il caso MOAB fornisce loro il pretesto, quindi è bene stare attenti”, ha commentato Cooke.
Altri consigli utili arrivano da Eset: “Non dobbiamo mai sottovalutare ciò che i criminali informatici possono ottenere anche con informazioni così scarse”, ha detto Jake Moore, global security advisor dell’azienda. “Le vittime devono essere consapevoli delle conseguenze del furto di una password e devono effettuare i necessari aggiornamenti di sicurezza. Ciò include la modifica delle password, l'attenzione alle e-mail di phishing dopo la violazione e la garanzia che tutti gli account, colpiti o meno, siano dotati di autenticazione a due fattori".