Data Breach Italia: in vendita nel dark web i dati di centinaia di migliaia di utenti italiani. Dai dipendenti Fintech ai medici e farmacisti
Data breach Italia: un Luglio pessimo
I siti informativi sulla cybersecurity nelle ultime due settimane hanno reso pubblico il ritrovamento nel dark web (e non solo) di una grande quantità di dati personali appartenenti a cittadini italiani. Il sito web che ha catturato l’attenzione dei ricercatori è il famigerato BreachForum, specializzato in condivisione e rivendita di dati rubati in seguito a data breach. Ma non solo: il gruppo dietro il ransomware ALPHV/BlackCat, che ha fatto irruzione nei sistemi dell’università di Pisa, ha addirittura pubblicato i dati rubati sul web emerso.
Senza pretesa di completezza, più per rendere un quadro generale, che denunciare casi specifici, approfondiamo la tipologia di dati personali di cittadini italiani in vendita nel dark web.
I database di impiegati italiani di aziende Fintech
La scorsa settimana su BreachForums è stato pubblicato un post col quale sono messi in vendita i dati di centinaia di imprenditori, dipendenti, CEO di imporanti aziende italiane del settore Fintech. Non è chiaro se il database sia frutto di data breach perchè potrebbe anche essere stato costruito incrociando diverse fonti e informazioni provenienti da social e altre fonti.
La redazione di Red Hot Cyber, che ha dato notizia della pubblicazione di questo database, fa sapere anche che lo stesso utente ha dichiarato ai avere a disposizione anche un database di personale medico / sanitario italiano. Il database contiene 3890 record e costa 50 euro, quello medico (compreso di password di sistema) invece 12.670 record ed è in vendita per 150 euro.
Il database di operatori sanitari italiani
Il set di dati con le informazioni dei medici italiani contiene effettivamente 12.600 record e costa circa 150 euro.
Colpisce la quantità infinita di dati che gli attaccanti hanno raccolto e messo in vendita: la redazione di red Hot Cyber riporta che il database è così composto:
- IdSpec1,
- IdUtente,
- IdRegione,
- IdSocieta,
- IdTipoUtente,
- IdProfessione,
- IdRuoloUtente,
- IdIntestaFattura,
- IdTipoFarmacista,
- IdTipoRegistrazione,
- Cap,
- Cell,
- Nome,
- Note,
- EMail,
- IpAdd,
- Sesso,
- Comune,
- IpLast,
- NumFax,
- ASL_Cap,
- Cognome,
- PwdUser,
- ASL_Nome,
- ASL_Piva,
- Indirizzo,
- LastLogin,
- LoginUser,
- Mail_auto,
- NumCivico,
- Provincia,
- TelStudio,
- ASL_Comune,
- AnnoLaurea,
- CodFiscale,
- UpdateDati,
- Verificato,
- ASL_CodFisc,
- DataNascita,
- LuogoNascita,
- ASL_Indirizzo,
- ASL_NumCivico,
- ASL_Provincia,
- EMail_fattura,
- Struttura_Cap,
- OrdineProf_Num,
- Struttura_Nome,
- Struttura_Piva,
- AutDatiPersonali,
- OrdineProf_Luogo,
- ProvinciaNascita,
- Struttura_Comune,
- AutDatiPersonali2,
- DataRegistrazione,
- Struttura_CodFisc,
- CollegioProf_Luogo,
- Struttura_Indirizzo,
- Struttura_NumCivico,
- Struttura_Provincia,
- AssociazioneProf_Luogo
Ecco la “combo”: 280.000 coppie email-password di utenti italiani
Il 15 Luglio un altro utente, sempre su BreachForum, pubblica un database contenente i dati di 280.000 utenti italiani. In dettaglio sono 280.000 coppie email+password.
L’utente riporta anche una serie di link, compreso quello del suo canale Telegram. Un canale molto attivo dove quotidianamente pubblica coppie email+password di caselle di posta di svariati provider sia italiani che esteri.
Il file che riguarda i dati degli utenti italiani è un comune file di testo TXT
L’università di Pisa vittima di ricatto: dopo l’attacco ransomware i dati in download nel dark e nel clear web
Per concludere la panoramica dei data breach occorsi in Italia veniamo ai dati dell’Università di Pisa. I sistemi informatici di Unipi sono stati violati dal gruppo ransomware ALPHV/BlackCat. Questo gruppo ransomware ha adottato la tecnica della triplice estorsione, ovvero ha impostati tre diversi livelli di ricatto.
Per approfondire > L’università di Pisa colpita dal ransomware BlackCat. Il gruppo BlackCat inaugura una nuova tecnica estorsiva
Prima di criptare i file, gli attaccanti hanno rubato i dati dalla rete universitaria, come è ormai consuetudine nel mondo dei ransowmare. Hanno quindi iniziato a ricattare l’Università di Pisa richiedendo un riscatto per non rendere pubblici i file e uno per ottenere il decryptor necessario a riportarli in chiaro. Evidentemente l’Università di Pisa ha deciso di non pagare / non collaborare quindi gli attaccanti hanno reso pubblici i dati rubati. Li hanno cioè pubblicati, almeno in prima battuta, nel proprio leak site nel dark web.
La mossa non deve aver smosso la dirigenza dell’Ateneo, quindi gli attaccanti hanno rincarato la dose pubblicando i dati nel web emerso. Questa è una novità piuttosto significativa. Fino ad adesso infatti i gruppi ransomware si sono limitati a pubblicare i dati rubati nel dark web: certo, basta scaricare Tor e accedere al sito web .onion del gruppo ransomware per avervi accesso. Sicuramente è però una modalità di accesso ai dati meno diretta rispetto alla pubblicazione nel clear web: chiunque può accedere a quei dati nel web emerso. Non solo: a breve i motori di ricerca come Google e Bing indicizzeranno quella risorsa. Ne consegue che i dati personali di studenti, lavoratori, collaboratori, insegnanti, borsisti dell’Università di Pisa saranno rintracciabili con una semplice ricerca su Google.
Cerchi piattaforme per adempiere a 360° al GDPR ed evitare sanzioni? Vedi qui!
Oppure ti serve formazione? O un consulente privacy? Abbiamo quel che cerchi!