Gaia Bottà

Cracking, la grande mietitura delle password

Un gruppo con base in Russia avrebbe accumulato oltre un miliardo di credenziali di accesso a migliaia di servizi online. I numeri rimbombano, i dettagli sugli effettivi rischi scarseggiano

Roma - 4,5 miliardi di record, 1,2 miliardi di username e password associate a mezzo miliardo di indirizzi email: questa la mole dei dati riconducibili ad una fantomatica cyber-gang russa, identificata dai ricercatori di sicurezza di Hold Security.

La security company, sulle tracce della gang da sette mesi, l'ha soprannominata "CyberVor", echeggiando il corrispettivo russo per "cyberladro": i suoi membri avrebbero inizialmente rastrellato dati sul mercato nero dei cracker, per poi cominciare ad approfittare di botnet per individuare vulnerabilità SQL sui siti vistati dai sistemi infetti e sfruttare queste falle per condurre attacchi SQL injection e mungere ulteriori dati da "centinaia di migliaia di siti", indistintamente tra gli affacci sul web dei brand più noti sul mercato, i siti di piccole aziende e i siti personali.

"Alcuni di noi potrebbero essere vittime per diverse credenziali", avverte Hold Security: si parla di 1,2 miliardi di combinazioni di username e password, associate a mezzo miliardo di indirizzi email, utilizzate dagli utenti della rete per accedere a 420mila siti. Alcuni dei dati di autenticazione potrebbero essere non validi o non più utilizzati, ammettono i ricercatori, ma "l'enorme numero delle credenziali potrebbe aprire le porte per diversi sistemi e account", considerato anche il fatto che è abitudine di molti utenti riciclare password e username. La messe di dati, composta probabilmente di password in chiaro o la cui cifratura è stata scardinata, secondo i ricercatori sarebbe per ora usata a fini di spam.
L'inquietante annuncio, titolato "YOU HAVE BEEN HACKED!", è stato diramato con un poco velato intento di stordire con le cifre in gioco e con gli scarsi dettagli riguardo ai soggetti colpiti, ed è stato provvidenzialmente accompagnato da una soluzione di sicurezza proposta dalla security company. Hold Security è un'azienda accreditata, ha contribuito alla scoperta di grandi attacchi quali quello subito da Adobe e la costosissima intrusione nei database della nota catena di grandi magazzini Target, ma il New York Times, forse incoraggiato dalla scarsa trasparenza nell'annuncio della security company, ha voluto verificare la notizia con l'ausilio di un esperti indipendenti, che ne hanno confermato l'autenticità.

Proprio al New York Times Alex Holden, fondatore di Hold Security, ha snocciolato ulteriori dettagli riguardo al modus operandi della gang di CyberVor: sarebbe composta da meno di dodici individui intorno ai 20 anni, che vivono in una piccola città russa, si conoscono personalmente e si dividono il lavoro come fossero una piccola azienda. "C'è chi scrive il codice, c'è chi ruba i dati - spiega Holden - ciascuno cerca di trarre di che vivere dalla propria attività".

Gaia Bottà
Notizie collegate
  • SicurezzaMozilla, dati degli sviluppatori a rischioSu un server pubblico, email e password cifrate dei membri del Mozilla Developer Network. La mamma di Firefox si scusa per l'accaduto, e appronta le dovute contromisure
  • SicurezzaAttacco cracker alla Banca Centrale EuropeaL'autorità monetaria del Vecchio Continente informa di aver subito una breccia sul suo sito Web pubblico, con conseguente furto di identità e informazioni personali. Ma i dati che contano davvero sono al sicuro, rassicura la BCE
  • AttualitàeBay, insicurezza e cyber-spionaggioAlla breccia nel popolare sito di aste telematiche seguono polemiche, indagini e notizie di nuove vulnerabilità, mentre gli USA provano a distogliere l'attenzione dal Datagate dichiarando guerra diplomatica agli hacker cinesi
20 Commenti alla Notizia Cracking, la grande mietitura delle password
Ordina
  • Grazie ad Apple e al suo Keychain (il portachiavi) condiviso da iCloud, ora le password le genera, memorizza ed utilizza per il login, in modo completamente automatico e condiviso tra i miei due Mac, l'iPad e l'iPhone.
    Posso permettermi di avere decine di password differenti senza dovermi ricordare di nessuna di esse, e accedere ai servizi da qualsiasi dispositivo.
    ruppolo
    33147
  • - Scritto da: ruppolo
    > Grazie ad Apple e al suo Keychain (il
    > portachiavi) condiviso da iCloud, ora le password
    > le genera, memorizza ed utilizza per il login, in
    > modo completamente automatico e condiviso tra i
    > miei due Mac, l'iPad e l'iPhone.
    > Posso permettermi di avere decine di password
    > differenti senza dovermi ricordare di nessuna di
    > esse, e accedere ai servizi da qualsiasi
    > dispositivo.

    E anche quand'anche perdessi la password grazie agli accordi tra CIA e Apple hai sempre la possibilità di recuperare i tuoi dati. E' una feature !
    non+autenticato
  • la guerra fredda è un po piu tiepida ultimamente ...
    non+autenticato
  • - Scritto da: sandro
    > la guerra fredda è un po piu tiepida ultimamente
    > ...

    se si considera che le sanzioni sono atti di guerra, si capisce che siamo in piena terza guerra mondiale
    non+autenticato
  • 1 MILIARDO?Sorpresa

    e io che pensavo di essere ricco col mio file da 800.000 paroleTriste
  • che aggiunge scetticismo qua e la', nell'articolo. In effetti, ad ora, le info disponibili sono "fuffologiche"...
    non+autenticato
  • - Scritto da: bubba
    > che aggiunge scetticismo qua e la',
    > nell'articolo. In effetti, ad ora, le info
    > disponibili sono
    > "fuffologiche"...

    si ma sono utilissime per montare l'ennesima campagna mediatica contro il brutto e cattivo Putin

    p.s. poi vedo gente sui forum che mi definisce pazzo perchè affermo che siamo di fronte ai preparativi per una guerra mondiale
    non+autenticato
  • > p.s. poi vedo gente sui forum che mi definisce
    > pazzo perchè affermo che siamo di fronte ai
    > preparativi per una guerra
    > mondiale

    Non solo che non sei pazzo (almeno in questo contesto, per gli altri non so...)Sorride ma aggiungo anche che temo che anche questa volta ci troveremo dalla parte sbagliata...
    non+autenticato
  • - Scritto da: Gianni

    > ma aggiungo
    > anche che temo che anche questa volta ci
    > troveremo dalla parte
    > sbagliata...

    almeno siamo coerenti Rotola dal ridere
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: bubba
    > > che aggiunge scetticismo qua e la',
    > > nell'articolo. In effetti, ad ora, le info
    > > disponibili sono
    > > "fuffologiche"...
    >
    > si ma sono utilissime per montare l'ennesima
    > campagna mediatica contro il brutto e cattivo
    > Putin
    >
    > p.s. poi vedo gente sui forum che mi definisce
    > pazzo perchè affermo che siamo di fronte ai
    > preparativi per una guerra
    > mondiale
    la cyberguerra c'e'.... pero' lo dico anch'io che non sei completamente sano se non ti accorgi che la densita' di cybercriminali ("normali" ma anche "imprenditori d'alto bordo"... roba cmq che non c'entra con la filippica militare) in russia, ucraina e bielorussia (direi in quest'ordine) e' molto alta. En passant ricordo che RBN (Russian Business Network) e' (anzi fu'Con la lingua fuori) di san pietroburgo...
    non+autenticato
  • non ci piove, ma il motivo è l'elevato investimento che la Russia ( e anche la Cina ) ha fatto sul settore informatico

    qui da noi t'insegnano a fare lo schiavo con Word, lì t'insegnano a costruire le cpu

    la settimana scorsa mi si sono drizzati i capelli, quando ho visto sul forum di osdev.org il post di un liceale che mostrava il suo progetto di maturità

    sai cos'era? una CPU RISC!!!! capslock, qua da noi è già tanto se all'ITIS informatico fanno un cruciverba come progetto d'esame
    non+autenticato
  • - Scritto da: collione
    > non ci piove, ma il motivo è l'elevato
    > investimento che la Russia ( e anche la Cina ) ha
    > fatto sul settore
    > informatico
    >
    > qui da noi t'insegnano a fare lo schiavo con
    > Word, lì t'insegnano a costruire le
    > cpu
    ..... eheh mah ti potrei anche dare ragione, se non fosse che non stavo parlando di abili nerd che modificano il firmware ai 3g dongle bloccati o cavano il drm ai pdf adobe.... parlavo di gente tipo questa http://www.fireeye.com/blog/technical/2014/07/oper... ... codare per perpetuare furti, estorsioni e truffe di massa non me lo puoi liquidare con "evabbe' per forza, studiano di piu'". E pure l'atteggiamento spesso noncurante (al minimo) della Russia 'governativa' fa rodere il culo. Claro e' un discorso "con l'accetta" (aka non e' che tutti in russia non fanno niente o peggio sono cybercriminali, ci mancherebbe) pero' diciamo che di storture (eufem) ne vediamo parecchie, ecco..

    > la settimana scorsa mi si sono drizzati i
    > capelli, quando ho visto sul forum di osdev.org
    > il post di un liceale che mostrava il suo
    > progetto di
    > maturità
    >
    > sai cos'era? una CPU RISC!!!! capslock, qua da
    > noi è già tanto se all'ITIS informatico fanno un
    > cruciverba come progetto
    > d'esame
    ehhehe... mi hai fatto pensare a vecchi tempi... x25.ru & relativo irc, rosnet, lo yugoslavo[1] dejan ecc.. vabbe non c'entraCon la lingua fuori
        anzi, no c'entra.... se ste teste di minchia di cui ho detto sopra, facessero, invece, con quel che sanno, quello che fece dejan kaljevic ,sarebbe MOLTO MOLTO meglioCon la lingua fuori

    [1] stava su .yu... fosse poi esattamente serbo, montenegrino o altra piu o meno fittizia distinzione etnica non lo so.. non me ne interessaiCon la lingua fuori
    non+autenticato
  • il discorso che hai fatto si può applicare pari pari alla Romania

    qual è quindi il punto?

    1. quei Paesi sono usciti da una disfatta e hanno cercato di sopravvivere puntando sulle nuove tecnologie ( non come un certo Franceschini che punta sulla storia medievale )
    2. sono Paesi che storicamente danno molta importanza all'istruzione e alla scuola ( non come l'Italia, dove la scuola è vista come area di parcheggio e parco giochi per teppisti e branchi assortiti )

    essendo però Paesi marginalizzati dall'impero americano ( il quale non ama riconoscere i meriti a chi li ha, basti pensare allo stupro dell'industria elettronica europea ) hanno trovato come unica scappatoia il crimine

    del resto il brigantaggio nacque da? dalla necessità di spezzare le catene imposte dall'aristocrazia corrotta e potente

    non dica che sia giusto, ma che per alcuni ( figlio di un Dio minore evidentemente ) è l'unico modo per uscire dalla fognatura
    non+autenticato
  • - Scritto da: collione
    > il discorso che hai fatto si può applicare pari
    > pari alla
    > Romania
    >
    > qual è quindi il punto?
    >
    > 1. quei Paesi sono usciti da una disfatta e hanno
    > cercato di sopravvivere puntando sulle nuove
    > tecnologie ( non come un certo Franceschini che
    > punta sulla storia medievale
    > )
    > 2. sono Paesi che storicamente danno molta
    > importanza all'istruzione e alla scuola ( non
    > come l'Italia, dove la scuola è vista come area
    > di parcheggio e parco giochi per teppisti e
    > branchi assortiti
    > )
    >
    > essendo però Paesi marginalizzati dall'impero
    > americano ( il quale non ama riconoscere i meriti
    > a chi li ha, basti pensare allo stupro
    > dell'industria elettronica europea ) hanno
    > trovato come unica scappatoia il
    > crimine
    >
    > del resto il brigantaggio nacque da? dalla
    > necessità di spezzare le catene imposte
    > dall'aristocrazia corrotta e
    > potente
    >
    > non dica che sia giusto, ma che per alcuni (
    > figlio di un Dio minore evidentemente ) è l'unico
    > modo per uscire dalla
    > fognatura
    ... mi lasci un po' (molto) interdetto... concateni fatti sparsi per dare una giustificazione al fatto che fottano (a me e contemporaneamente a migliaia di altri) la c/c.   
    Nemmeno c'e' il paravento del fatto che 'si, ma abbiamo attaccato UN kapitalista affamatore', quelli che dico io sono proprio crime as a business... ne prankster, ne violazione di 800entesche leggi del copyright, ne azione dimostrativa contro UN bankster... plain e simple crime. Quindi stokapzo, al gabbio e sequestro dei beni.

    (ovviamente vale anche per gli omologhi tedeschi, meregani, italiani ecc ecc)
    non+autenticato
  • - Scritto da: bubba

    > ... mi lasci un po' (molto) interdetto...
    > concateni fatti sparsi per dare una
    > giustificazione al fatto che fottano (a me e
    > contemporaneamente a migliaia di altri) la c/c.
    >
    > Nemmeno c'e' il paravento del fatto che 'si, ma
    > abbiamo attaccato UN kapitalista affamatore',
    > quelli che dico io sono proprio crime as a
    > business... ne prankster, ne violazione di
    > 800entesche leggi del copyright, ne azione
    > dimostrativa contro UN bankster... plain e simple
    > crime. Quindi stokapzo, al gabbio e sequestro dei
    > beni.
    >
    > (ovviamente vale anche per gli omologhi tedeschi,
    > meregani, italiani ecc
    > ecc)

    ma non sto giustificando il cybercrime, semplicemente ho fatto notare che se alle spalle non avessero un sistema scolastico SERIO e che punta su insegnamenti SERI, non avrebbero nemmeno le competenze per poter fare i cybercriminali

    sul numero proprio non saprei, perchè non ho statistiche in merito e di certo le analisi politicizzate di alcuni ricercatori non aiutano a far emergere la verità

    da quello che si legge in giro, si potrebbe concludere che negli USA non esistano cracker, quando invece ce ne sono parecchi e abbastanza preparati, ma soprattutto più variegati

    per cui no, non credo che la Russia stia volontariamente coltivando cybercriminali

    ovviamente quegli degli hacker di Stato è un discorso a parte, trattandosi ormai di un vero e proprio nuovo corpo delle forze armate russe, cinesi, americane e di chissà quanti altri Paesi
    non+autenticato
  • p.s. a proposito dell'articolo http://it.slashdot.org/story/14/08/07/1250204/mass...

    se guardi i commenti, noterai che c'è parecchia gente dubbiosa circa le affermazioni di Hold Security

    c.v.d. ricercatori politicizzati, così ci convincono che i cracker sono SOLO cinesi o russi
    non+autenticato