Data Breach Italia: in vendita nel dark web i dati di centinaia di migliaia di utenti italiani. Dai dipendenti Fintech ai medici e farmacisti

Data breach Italia: un Luglio pessimo

I siti informativi sulla cybersecurity nelle ultime due settimane hanno reso pubblico il ritrovamento nel dark web (e non solo) di una grande quantità di dati personali appartenenti a cittadini italiani. Il sito web che ha catturato l'attenzione dei ricercatori è il famigerato BreachForum, specializzato in condivisione e rivendita di dati rubati in seguito a data breach. Ma non solo: il gruppo dietro il ransomware ALPHV/BlackCat, che ha fatto irruzione nei sistemi dell'università di Pisa, ha addirittura pubblicato i dati rubati sul web emerso. 

Senza pretesa di completezza, più per rendere un quadro generale, che denunciare casi specifici, approfondiamo la tipologia di dati personali di cittadini italiani in vendita nel dark web.

I database di impiegati italiani di aziende Fintech

La scorsa settimana su BreachForums è stato pubblicato un post col quale sono messi in vendita i dati di centinaia di imprenditori, dipendenti, CEO di imporanti aziende italiane del settore Fintech. Non è chiaro se il database sia frutto di data breach perchè potrebbe anche essere stato costruito incrociando diverse fonti e informazioni provenienti da social e altre fonti.

Fonte: Red Hot Cyber

La redazione di Red Hot Cyber, che ha dato notizia della pubblicazione di questo database, fa sapere anche che lo stesso utente ha dichiarato ai avere a disposizione anche un database di personale medico / sanitario italiano. Il database contiene 3890 record e costa 50 euro, quello medico (compreso di password di sistema) invece 12.670 record ed è in vendita per 150 euro.

Il database di operatori sanitari italiani

Il set di dati con le informazioni dei medici italiani contiene effettivamente 12.600 record e costa circa 150 euro.

Fonte: Red Hot Cyber

Colpisce la quantità infinita di dati che gli attaccanti hanno raccolto e messo in vendita: la redazione di red Hot Cyber riporta che il database è così composto:

• IdSpec1,
• IdUtente,
• IdRegione,
• IdSocieta,
• IdTipoUtente,
• IdProfessione,
• IdRuoloUtente,
• IdIntestaFattura,
• IdTipoFarmacista,
• IdTipoRegistrazione,
• Cap,
• Cell,
• Nome,
• Note,
• EMail,
• IpAdd,
• Sesso,
• Comune,
• IpLast,
• NumFax,
• ASL_Cap,
• Cognome,
• PwdUser,
• ASL_Nome,
• ASL_Piva,
• Indirizzo,
• LastLogin,
• LoginUser,
• Mail_auto,
• NumCivico,
• Provincia,
• TelStudio,
• ASL_Comune,
• AnnoLaurea,
• CodFiscale,
• UpdateDati,
• Verificato,
• ASL_CodFisc,
• DataNascita,
• LuogoNascita,
• ASL_Indirizzo,
• ASL_NumCivico,
• ASL_Provincia,
• EMail_fattura,
• Struttura_Cap,
• OrdineProf_Num,
• Struttura_Nome,
• Struttura_Piva,
• AutDatiPersonali,
• OrdineProf_Luogo,
• ProvinciaNascita,
• Struttura_Comune,
• AutDatiPersonali2,
• DataRegistrazione,
• Struttura_CodFisc,
• CollegioProf_Luogo,
• Struttura_Indirizzo,
• Struttura_NumCivico,
• Struttura_Provincia,
• AssociazioneProf_Luogo

Ecco la "combo": 280.000 coppie email-password di utenti italiani

Il 15 Luglio un altro utente, sempre su BreachForum, pubblica un database contenente i dati di 280.000 utenti italiani. In dettaglio sono 280.000 coppie email+password.

Fonte: Red Hot Cyber

L'utente riporta anche una serie di link, compreso quello del suo canale Telegram. Un canale molto attivo dove quotidianamente pubblica coppie email+password di caselle di posta di svariati provider sia italiani che esteri.  Il file che riguarda i dati degli utenti italiani è un comune file di testo TXT

Fonte: Red Hot Cyber

L'università di Pisa vittima di ricatto: dopo l'attacco ransomware i dati in download nel dark e nel clear web

Per concludere la panoramica dei data breach occorsi in Italia veniamo ai dati dell'Università di Pisa. I sistemi informatici di Unipi sono stati violati dal gruppo ransomware ALPHV/BlackCat. Questo gruppo ransomware ha adottato la tecnica della triplice estorsione, ovvero ha impostati tre diversi livelli di ricatto. 

Per approfondire > L'università di Pisa colpita dal ransomware BlackCat. Il gruppo BlackCat inaugura una nuova tecnica estorsiva 

Prima di criptare i file, gli attaccanti hanno rubato i dati dalla rete universitaria, come è ormai consuetudine nel mondo dei ransowmare. Hanno quindi iniziato a ricattare l'Università di Pisa richiedendo un riscatto per non rendere pubblici i file e uno per ottenere il decryptor necessario a riportarli in chiaro. Evidentemente l'Università di Pisa ha deciso di non pagare / non collaborare quindi gli attaccanti hanno reso pubblici i dati rubati. Li hanno cioè pubblicati, almeno in prima battuta, nel proprio leak site nel dark web. 

La mossa non deve aver smosso la dirigenza dell'Ateneo, quindi gli attaccanti hanno rincarato la dose pubblicando i dati nel web emerso. Questa è una novità piuttosto significativa. Fino ad adesso infatti i gruppi ransomware si sono limitati a pubblicare i dati rubati nel dark web: certo, basta scaricare Tor e accedere al sito web .onion del gruppo ransomware per avervi accesso. Sicuramente è però una modalità di accesso ai dati meno diretta rispetto alla pubblicazione nel clear web: chiunque può accedere a quei dati nel web emerso. Non solo: a breve i motori di ricerca come Google e Bing indicizzeranno quella risorsa. Ne consegue che i dati personali di studenti, lavoratori, collaboratori, insegnanti, borsisti dell'Università di Pisa saranno rintracciabili con una semplice ricerca su Google. 

I dati dell’Università di Pisa disponibili nel web emerso