Anti Public Data Leak

In questi ultimi giorni vari siti stanno dando l’allarme di un data leak denominato Anti Public che corrisponde ud un archivio di 17 gigabyte, diffuso in dieci file .txt che conterrebbero 13 milioni dii domini per un totale di 457.962.538 email univoche complete di relative password, inoltre per alcuni indirizzi mail pare siano presenti più password che fa presupporre che il singolo indirizzo sia stato impiegato per accedere a più servizi online.

Le mail e password sarebbero riconducibili ad aziende, istituzioni pubbliche, forze armate e di polizia, università e infrastrutture critiche in tutto il mondo. In Italia sembrerebbero interessate Polizia, Vigili del Fuoco, ministeri, città metropolitane, ospedali e università, mentre a livello globale sarebbero coinvolti Casa Bianca, forze armate Usa, Europol, Eurojust, Parlamento Europeo e Consiglio Europeo.

Di seguito l’articolo online Nel deep web archivio con 450 mln mail e password rubate del 26 maggio 2017 fatto dall’ANSA (Agenzia Nazionale Stampa Associata) viene riportato che il Cnaipic della Polizia postale e delle comunicazioni sta indagando sul materiale:

“Il copioso materiale informatico è attualmente oggetto di accurata analisi da parte degli operatori del Cnaipic della Polizia postale e delle comunicazioni”, si legge in una nota della stessa Polizia, secondo cui “da una prima verifica si tratterebbe di una raccolta di informazioni datate, frutto di attacchi informatici risalenti, già oggetto in passato di divulgazione“. “Sono presenti all’interno del database pubblicato nel darkweb – conferma la Polizia postale – circa 450 milioni di credenziali (userid e password), riferibili a circa 13 milioni di domini di posta elettronica worldwide, probabilmente frutto di una collazione di diversi ‘data breach’ alcuni dei quali risulterebbero vecchi di anni“. Gli specialisti informatici della Postale “stanno analizzando i dati acquisiti per le necessarie verifiche e per la puntuale informazione delle strutture di sicurezza cyber del Paese”.

In ultimi giorni sono infatti comparsi sui siti che mantengono un database delle mail che sono presenti in archivi contenti mail compromesse sono comparsi diversi file che fanno riferimento al dataleak denominato Anti Public. A tal riguardo si vedano ad esempio:

Entrambi i siti consentono la verifica della presenza di un indirizzo mail nel database e l’utilizzo del servizio mediante API, Have i been pwned? consente anche la verifica di un intero dominio e la sottoscrizione per ricevere un alert nel caso l’indirizzo o gli indirizzi di un dominio vengano rilevati nei data leaks.

La sottoscrizione a servizi di questo tipo va però fatta a fronte di una seria analisi del servizio, a tal proprosito ricordo infatti il caso di PwnedList (https://pwnedlist.com/) un servizio simile che era stato chiuso il 16 maggio 2016 dopo una compromissione dei propri servizi che aveva permesso il furto di 583.083 credenziali, a riguardo si veda #OpIsrael: Anonymous Hacks Israeli portal Walla, leaks 583,000 Emails & Passwords:

Steve Thomas, the founder of Pwnedlist told media that “We discovered the Walla data leak through one of the automated harvesters that we had monitoring the hacker community,”. “We found out that we had only identified part of the leak, so we manually tracked down the rest of the leak, 93 files overall. The data leak included 583,083 credentials. The passwords were hashed and salted, but the salts were leaked as well. From what I have seen, there weren’t any other major pieces of data included in the data leak, such as names or addresses. However, those impacted by the data leak should still be concerned about their credentials, and be on the lookout for an increased number of phishing attacks.”

Per maggiori informazioni sull’evoluzione del caso PwnedList e su come veniva sfruttata la vulnerabilità del portale per generare phishing si veda PwnedList Gets Pwned, shutting down service in few days:

Users who want to monitor their site can simply add their website name (domain link) on the PwnedList’s dashboard and to confirm their identity PwnedList has a system of verifying users involving clicking on a confirmation link to finalize the process and users can check if someone has leaked data from their domain. However, a security researcher Bob Hodges found out things are are not as they seem, in fact, the security flaw allowed attackers to validate themselves as the owner of any domain.

 

Hodges shared his findings with Brian Krebs who then sent a test email to Hodges and within no time, he started receiving emails alerting them of leaked login credentials for Apple.com domain which of course is owned by the tech giant Apple Inc. NOT the security researchers.

A riguardo si veda anche These Sites Tell Which Of Your Accounts Have Been Hacked

Concludendo le regole di base per la gestione degli account online sono sempre valide:

  • Dal momento che per comodità si utilizza la stessa mail per accedere a più servizi utilizzare per ciascuno di questi una password diversa. La cosa migliore è crearsi una regola memonica non banale per costruire password preferibilmente di almeno 12 caratteri (a riguardo si veda il mio post Complessità della password).
  • Cambiare con una certa regolarità la password dei servizi da cui è possibile ricavare informazioni riservate come la mail, le credenziali in Active Directory, i profili social etc…
  • Verificare con regolarità su servizi affidabili l’eventuale furto delle credenziali connesse al proprio indirizzo mail personale o aziendale. Ovviamente la mancata presenza dell’indirizzo mail nel database non corrisponde alla sicurezza che le proprie credenziali non siano state rubate.
  • Se possibile attivare le notifiche di login nei vari servizi per avere un riscontro nel caso si verifichino accessi non consentiti.
  • Se possibile usare almeno per i servizi i da cui è possibile ricavare informazioni riservate l’autenticazione multifattore.