Effettua la tua ricerca
More results...
Mutuo 100% per acquisto in asta
assistenza e consulenza per acquisto immobili in asta
Il prezzo di partenza, trattabile, è fissato a 1500 dollari. Questa la cifra che l’attore malevolo chiede per l’acquisto di dati in suo possesso riguardanti 5,5 milioni di utenti Infocert SpA, società ora parte del gruppo Tinexta.
Il caso è notevole in particolare perché Inforcert si occupa da tempo di offrire certificazione e autenticazione per la propria identità digitale Spid, con tutti i servizi connessi necessari a tale attività.
La vendita dei dati di Infocert su un forum deep Web
L’annuncio è apparso come post (deep Web) su BreachForums, nel primo pomeriggio di ieri (venerdì 27 dicembre). L’autore, per provare l’autenticità sul possesso di tali dati, ne rilascia un sample.
Finanziamenti e agevolazioni
Agricoltura
Dalla nota diffusa sul post non è comprensibile la natura di tali dati e dell’eventuale esfiltrazione qualora possano venire verificati. Il threat actor si focalizza sullo spiegare Infocert SpA, il contesto in cui opera e la grandezza del target “colpito”. Sottolinea appunto la dimensione finale del leak, inquadrandola in 5,5 milioni di dati esposti. Tra questi 1.1 milioni di numeri di telefono e 2.5 milioni di indirizzi email.
Inforcert: “dati personali pubblicati, nessuna password compromessa”
“In data 27 dicembre u.s., in occasione delle continue attività di monitoraggio dei nostri sistemi informatici, è stata rilevata la pubblicazione non autorizzata di dati personali relativi a clienti censiti nei sistemi di un fornitore terzo”.
“Tale pubblicazione è frutto di un’attività illecita in danno di tale fornitore, che non ha però compromesso l’integrità dei sistemi di InfoCert”.
“Nel confermare che sono in corso tutti gli opportuni accertamenti sul tema, anche al fine di eseguire le necessarie denunce e notifiche alle Autorità competenti, siamo fin da ora in grado di informare che nessuna credenziale di accesso ai servizi InfoCert e/o password di accesso agli stessi è stata compromessa in tale attacco”.
“Sarà nostra cura fornire ulteriori approfondimenti non appena possibile”.
Come può essere stato possibile l’esfiltrazione di dati da Infocert
Tuttavia il sample che viene esposto “gratuitamente” invece, ci dà diversi indizi in più e anche la possibilità di tentare di spiegare la natura del leak ed eventualmente cosa è potuto accadere.
I dati esposti come sample, nel post criminale sono in formato CSV, l’autore offre 24 righe dei dati in suo possesso. La struttura del dato ci fa capire che si tratta di una esportazione fatta presumibilmente da un database SQL-like. La forma di questa esportazione è evidentemente associabile ad un Ticketing System: per intenderci il backend di uno di quei sistemi (webapp) che si utilizzano per gestire le richieste di assistenza dei clienti verso un’azienda.
Effettivamente tra i molti campi (196) che l’esportazione del database comprende, ci sono nomi, cognomi, indirizzi email, codici fiscali, numeri di telefono. Ma anche motivo della richiesta di assistenza, sua risoluzione e eventuali dettagli intercorsi tra l’operatore Infocert e il cliente.
Microcredito
per le aziende
I rischi per gli italiani
Ovviamente lo ricordiamo, questi dati, anche i più innocenti, come le conversazioni con l’operatore e il motivo di contatto assistenza, sono estremamente utili per i criminali, per attacchi futuri mirati di phishing che, con questa mole di dettagli, hanno più possibilità di andare a segno.
Se effettivamente verrà consolidata la notizia che questi dati provengono da Infocert SpA, il sistema interessato potrebbe essere presumibilmente questo [https://contatta.infocert.it/ticket/], appunto il sistema di gestione ticket di assistenza di Infocert per i suoi clienti (o l’equivalente sistema su dominio internazionale, considerando che il sistema di gestione è il medesimo).
Cosa può essere successo? Il sistema adottato da Infocert è un Ticketing System in PHP che presumibilmente ha un collegamento con database SQL, come spesso si usa fare con questo linguaggio di programmazione. In questo caso può essere stato abbastanza banale sfruttare una delle vulnerabilità note e non fixate sul server, di SQL injection che, proprio tramite le pagine Web del sistema di ticket, consentirebbe l’iniezione di certe stringhe studiate ad hoc, che possono ritornare all’utente interi listati del contenuto del database.
Basando l’analisi sul sample, dunque, sembrano dati rinvenienti da uno sfruttamento di vulnerabilità note contro il database dell’applicazione impattata, sarebbe intuitivo escludere qualsiasi altra tipologia di attacco all’infrastruttura con infiltrazioni o accessi non autorizzati di altro tipo ai sistemi Infocert.
Un indizio arriva già dalle configurazioni applicate agli header di questo dominio: con alcune gravi mancanze che potrebbero aiutare a mitigare esposizioni come quella già sfruttata dai criminali.
Inoltre anche il Content-Encoding header è impostato su “deflate”, il che potrebbe esporre il server ad attacchi di tipo breach.
In conclusione, alla luce del comunicato ufficiale da parte di Infocert che parla di accesso non autorizzato ai dati di un fornitore terzo, senza ulteriori dettagli tecnici, è plausibile che siano proprio rinvenienti da uno sfruttamento di vulnerabilità per via di mal configurazione lato server che ospita l’applicazione, oppure per via di aggiornamenti non tempestivi dei servizi utilizzati per realizzarla.
Prestito personale
Delibera veloce
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
