AntiPublic: 450 milioni di account a disposizione dei pirati

Mag 29, 2017 Marco Schiaffino Gestione dati, Leaks, News, Privacy, RSS, Vulnerabilità 0

Il mega-archivio di username e password è disponibile online per chiunque. In Italia scatta l’allarme e si controllano gli utenti che hanno accesso a infrastrutture governative.

Centinaia di milioni di credenziali a vari servizi disponibili per chiunque su Internet. Stiamo parlando di AntiPublic, uno dei più massicci leak di account mai rilasciati sul Web che ha fatto scattare l’allarme anche tra le organizzazioni governative italiane, preoccupate dal fatto che l’accesso a username e password possa compromettere anche la sicurezza di servizi pubblici.

A fornire maggiori dettagli sull’entità del leak è stata Yarix, che in collaborazione con D3Labs ha scattato una “radiografia” del database da 17 GB che rischia di mettere a repentaglio la sicurezza di servizi sensibili anche nel nostro paese.

L’archivio, la cui creazione risalirebbe al dicembre scorso e che oggi è accessibile nel Deep Web, ha fatto drizzare le antenne degli esperti per le sue caratteristiche. Tutti gli account contenuti al suo interno, infatti, sembrano essere stati filtrati e verificati con una certa accuratezza.

Nel dettaglio, all’interno dei file TXT che contengono i 458 milioni di account (per la precisione sono 457.962.538 email univoche che fanno riferimento a email collegate a 13 milioni di domini) non ci sono gli hash delle password, ma le parole di acceso in chiaro.

Segnale, questo, che qualcuno si è preso la briga di de-offuscare le password e associarle agli indirizzi email (in alcuni casi ci sono più password per un singolo indirizzo) per creare un database “pronto all’uso” di chiunque ne abbia interesse.

Nella prospettiva di chi opera nel nostro paese, il leak è particolarmente rilevante a causa del fatto che nell’elenco risultano email che fanno riferimento a numerose istituzioni pubbliche, tra cui le forze di polizia e addirittura i vigili del fuoco.

Se consideriamo che la maggior parte degli utenti ha la pessima abitudine di utilizzare le stesse credenziali per diversi servizi, ecco che si capisce l’entità dell’allarme: indipendentemente dalla fonte, quei dati potrebbero consentire ai cyber-criminali di accedere ad ambiti particolarmente “sensibili”, anche nelle infrastrutture che fanno capo alle istituzioni.

Ma da dove arrivano gli indirizzi? Troy Hunt, uno degli attivisti che gestisce il sito “Have I Been Pwned?” sottolinea in un articolo come i dati provengano da diverse fonti. Un’ipotesi confermata a Security Info anche da D3Labs, secondo cui non è escluso che l’archivio contenga materiale sottratto a siti specializzati nella commercializzazione di credenziali rubate.

Della categoria fanno parte siti come Leakshare.org (ormai chiuso) o Leakbase.pw (ancora in attività) e che consentono a chiunque di avere accesso ai dati di utenti attraverso il pagamento di un “abbonamento” giornaliero, settimanale o mensile.

Abbonamento a pagamento per accedere al database delle credenziali rubate. Ufficialmente, lo scopo è quello di permettere agli utenti di sapere quando sono a rischio hacking. Qualcuno ci crede?

Servizi come questi “galleggiano” in quella zona grigia tra legalità e illegalità che su Internet trova cittadinanza grazie alle ambiguità di una legislazione che fatica a stare dietro alle nuove frontiere del cyber-crime.

In particolare, tra i confini particolarmente “sfumati” di chi si mantiene in equilibrio offrendo un servizio agli utenti per consentirgli di scoprire se i loro account sono stati violati (come nel caso di LeakedSource, chiuso dall’FBI all’’inizio dell’anno) che potrebbe essere sfruttato anche dai pirati per ottenere quei dati e usarli per altri (meno nobili) scopi.

AntiPublic, in ogni caso, non è l’unico archivio di questo genere in circolazione. Secondo gli esperti di D3Labs, infatti, ci sarebbe un database di dimensioni simili (con dati riguardanti 590 milioni di utenti) pronto a essere rilasciato sul forum di Exploit.in, uno dei tanti siti Web che abitano la linea di confine tra legale e illegale.

In questo caso, però, si tratterebbe di dati ancora piuttosto grezzi, cioè contenenti le password sotto forma di hash, e non pronti all’uso come quelli disponibili in AntiPublic.

Condividi l'articolo