Claudio Tamburrino

Anti Public, mezzo miliardo di account email sul Deep Web

Una nuova megabreccia di sicurezza permette a 24 gigabyte di dati di finire nell'Internet nascosta. Tra questi numerose password e account email legati a istituzioni italiane che ora devono gestire l'emergenza

Anti Public, mezzo miliardo di account email sul Deep WebRoma - Secondo quelle che sembrano ancora indiscrezioni, nel Deep Web sono disponibili quasi 24 Gigabyte di dati sensibili, noti tra i cybercriminali come i dati "Anti Public".

A mettere le mani direttamente su tali informazioni sono stati gli esperti del Var Group dell'azienda italiana Yarix, con la collaborazione degli analisti di D3Lab che hanno iniziato a seguire le voci che circolavano da giorni nel deep web relativi ad un vasto archivio di email e password rubate e riconducibili non solo a semplici aziende, ma anche ad istituzioni pubbliche, università e addirittura forze armate, polizia e infrastrutture critiche.

Tra i dati, organizzati in 111 file TXT, vi sono 13 milioni di domini email, per un totale di oltre 593 milioni di email uniche interessate, comprese di relative password pubblicate senza crittografia: le informazioni al momento fornite permettono di riferire che si tratta di un archivio apparentemente creato nel dicembre del 2016, ma comparso solo di recente - attraverso una piattaforma cloud russa - sul deep web: oscura resta ancora l'origine, ma viste le dimensioni che lo rendono forse il più grande furto di dati della storia del Web, è improbabile che nessuno voglia attribuirsene i meriti.
Tra questi dati vi sono anche account italiani: in particolare account istituzionali tra cui quelli correlati alla Polizia, ai Vigili del Fuoco, ai Ministeri, alle città metropolitane, ma anche all'Università e agli ospedali.

Si tratta, in generale, dello stesso genere di informazioni ottenute a livello globale, dove si parla di account legati alla Casa Bianca, alle forze armate USA, all'Europol, Eurojust, Parlamento Europeo e Consiglio Europeo.

Mentre quelli che ora vengono definiti gli "ethical hacker" di D3Lab continuano le ricerche direttamente sui file con i dati, Mirko Gatto, CEO di Yarix, riferisce di essersi messo in contatto con il Ministero dell'Interno per la gestione dell'emergenza.

Chiunque può invece controllare se la propria email è stata coinvolta nell'illecita diffusione, tramite la piattaforma "Have I been pwned" (HIBP) che aggrega le informazioni su tutti i megabreach i cui dati sono finiti nel dark web.

Claudio Tamburrino
Notizie collegate
49 Commenti alla Notizia Anti Public, mezzo miliardo di account email sul Deep Web
Ordina
  • Il cancro delle body-rental, società di consulenza esterne, che vincono appalti per mandare persone a lavorare presso aziende, ha come effetto collaterale il furto dei dati delle aziende, le proprietà intellettuali copiando tutto ciò che possono e rivendendolo ad altre aziende concorrenti su cui instaureranno un altro appalto in body-rental.
    Scatole cinesi una dentro l'altra che danneggiano non solo l'occupazione, gli operai dell'informatica, ma anche le aziende loro clienti
    non+autenticato
  • - Scritto da: oppido
    > Il cancro delle body-rental, società di
    > consulenza esterne, che vincono appalti per
    > mandare persone a lavorare presso aziende, ha
    > come effetto collaterale il furto dei dati delle
    > aziende, le proprietà intellettuali copiando
    > tutto ciò che possono e rivendendolo ad altre
    > aziende concorrenti su cui instaureranno un altro
    > appalto in
    > body-rental.
    > Scatole cinesi una dentro l'altra che danneggiano
    > non solo l'occupazione, gli operai
    > dell'informatica, ma anche le aziende loro
    > clienti

    Si chiama consulting e dal punto di vista della sicurezza non è molto diverso da qualunque freelance (o anche dipendente assunto)
    non+autenticato
  • - Scritto da: Ogekury
    > - Scritto da: oppido
    > > Il cancro delle body-rental, società di
    > > consulenza esterne, che vincono appalti per
    > > mandare persone a lavorare presso aziende, ha
    > > come effetto collaterale il furto dei dati
    > delle
    > > aziende, le proprietà intellettuali copiando
    > > tutto ciò che possono e rivendendolo ad altre
    > > aziende concorrenti su cui instaureranno un
    > altro
    > > appalto in
    > > body-rental.
    > > Scatole cinesi una dentro l'altra che
    > danneggiano
    > > non solo l'occupazione, gli operai
    > > dell'informatica, ma anche le aziende loro
    > > clienti
    >
    > Si chiama consulting e dal punto di vista della
    > sicurezza non è molto diverso da qualunque
    > freelance (o anche dipendente
    > assunto)

    Si capisce bene che sei uno di loro.
    non+autenticato
  • - Scritto da: Ehi si
    > - Scritto da: Ogekury
    > > - Scritto da: oppido
    > > > Il cancro delle body-rental, società di
    > > > consulenza esterne, che vincono appalti per
    > > > mandare persone a lavorare presso aziende,
    > ha
    > > > come effetto collaterale il furto dei dati
    > > delle
    > > > aziende, le proprietà intellettuali
    > copiando
    > > > tutto ciò che possono e rivendendolo ad
    > altre
    > > > aziende concorrenti su cui instaureranno un
    > > altro
    > > > appalto in
    > > > body-rental.
    > > > Scatole cinesi una dentro l'altra che
    > > danneggiano
    > > > non solo l'occupazione, gli operai
    > > > dell'informatica, ma anche le aziende loro
    > > > clienti
    > >
    > > Si chiama consulting e dal punto di vista della
    > > sicurezza non è molto diverso da qualunque
    > > freelance (o anche dipendente
    > > assunto)
    >
    > Si capisce bene che sei uno di loro.

    Esatto, sono qui che mi sto facendo un bel dump di un oracle pieno di dati personali e password in chiaro.

    Quello che volevo sottolineare è che dal punto della vista della sicurezza (per in inciso "i furbetti che se ne approfittano") cambia poco che vengano da Capgemini/Accenture/PWC,che siano dei freelance o dei dipendenti (scontenti).
    non+autenticato
  • cambia, cambia. si è sempre più fedeli a chi ci paga che alle persone per cui lavoriamo... quindi mentre un dipendente e un freelance sono pagati dall'azienda presso cui lavorano un estreno è pagato da un'azienda diversa.. Vedi tu
    non+autenticato
  • - Scritto da: ma anche no
    > cambia, cambia. si è sempre più fedeli a chi ci
    > paga che alle persone per cui lavoriamo... quindi
    > mentre un dipendente e un freelance sono pagati
    > dall'azienda presso cui lavorano un estreno è
    > pagato da un'azienda diversa.. Vedi
    > tu

    Ahhh si, fedelissimi, soprattutto i dipendenti sfruttati (e non sono pochi)
    non+autenticato
  • Il cancro è la società di stampo anglofascista, è il considerare l'economia sopra ogni cosa, il denaro come valore in sé non mera unità di misura di un valore reale. Le body-rental sono solo una naturale conseguenza.
    non+autenticato
  • - Scritto da: xte
    > Il cancro è la società di stampo anglofascista, è
    > il considerare l'economia sopra ogni cosa, il
    > denaro come valore in sé non mera unità di misura
    > di un valore reale. Le body-rental sono solo una
    > naturale
    > conseguenza.

    anglofascista? E dimmi, qui in Italia che c'è il PD(si dichiarano di sinistra), che cosa cambia?
    non+autenticato
  • >
    > anglofascista? E dimmi, qui in Italia che c'è il
    > PD(si dichiarano di sinistra), che cosa
    > cambia?


    La sinistra ha perso le elezioni e Renzusconi ha preso il potere per conto del suo padrino Berlusconi con l'appoggio del grande ciarlatano pentastellato.
    non+autenticato
  • Il Partito Democristiano è uno dei tanti partiti clericofascisti nati nel tempo insinuandosi in partiti un tempo di sinistra che han preso allegramente il cetriolo (pardon, la margherita). È una ben nota strategia, assai comune oltreoceano...
    non+autenticato
  • - Scritto da: Ehi si
    > - Scritto da: xte
    > > Il cancro è la società di stampo anglofascista,
    > è
    > > il considerare l'economia sopra ogni cosa, il
    > > denaro come valore in sé non mera unità di
    > misura
    > > di un valore reale. Le body-rental sono solo una
    > > naturale
    > > conseguenza.
    >
    > anglofascista? E dimmi, qui in Italia che c'è il
    > PD(si dichiarano di sinistra), che cosa
    > cambia?

    Possono dichiararsi come vogliono, ma al lato pratico sono peggio di casa pound per quanto riguarda diritti dei lavoratori, welfare e diritti civili.
  • Hanno dimenticato di citare le password dei parrucchieri per signora, delle mignotte, dei musicisti dei teatri nazionali, dei presidi dei licei classici e dei bot per l'invio delle fatture elettroniche.

    Sembra una di quelle strnzt che circolano su whatsapp...
    Punto informatico (Il sole 24 ore, il fatto quotidiano ecc.) non sanno più che scirvere...
    Ah!
  • Io consiglio di installare KeePassX https://www.keepassx.org/screenshots
    Si genera una nuova password per ogni cosa e la si salva nel database. Il database è protetto da una password principale che viene memorizzata dall'utente e che la usa per accedere alla lista delle altre password. Così non c'è da preoccuparsi se un sito web o un provider email si fa bucare e si fa copiare le password salvate in chiaro. Senza password-reuse i danni sono limitati. Se la password fosse anche salvata offuscata magari con un hash crittografico ci vorrà molto tempo per crackarla visto che una stringa di caratteri generati casualmente difficilmente comparirà in una wordlist. Il risultato è che usare keepassx conviene sempre anche su siti web presunti "sicuri". In questo caso se viene rubato solo l'username e la password hashata non sarà facile reversarla per fare il login.
    Consiglio di fare una o piu' copie del file database. In particolar modo a chi usa il programma per Windows e tiene i suoi preziosi file su un'accrocchio chiamato NTFS Fan Linux
    non+autenticato
  • Se il servizio che usi salva le password al posto degli hash più di cambiar password IMVHO è tempo di cambiar servizio.
    non+autenticato
  • Concordo in pieno. Se il servizio non usa la banale precauzione di non salvare le password in chiaro é un servizio non affidabile e va eliminato/sostituito.
    non+autenticato
  • già allora eliminiamo anche questo sito che salva le password in chiaro, altro che hash e salt.
    non+autenticato
  • - Scritto da: bamba
    > già allora eliminiamo anche questo sito che salva
    > le password in chiaro, altro che hash e
    > salt.

    Questo sito neanche te la chiede la password per postare.
  • la password con cui ti sei registrato è salvata in chiaro nel database (e passa in chiaro anche in rete btw).

    Dimostrazione: ho dimenticato la password.
    non+autenticato
  • - Scritto da: bamba
    > la password con cui ti sei registrato è salvata
    > in chiaro nel database (e passa in chiaro anche
    > in rete
    > btw).
    >
    > Dimostrazione: ho dimenticato la password.

    E sticazzi non ce lo vogliamo mettere?

    Questo e' il forum di PI, mica un sito di home banking.

    Quando anche scopri la password del mio account che cosa ottieni?
    La possibilita' di postare messaggi a nome mio, facendoti sgamare dopo il terzo.
    Un indirizzo di mail usato solo per qui.
    Una password usata solo per qui.
    Che altro?
  • ma chi vorrebbe mai farsi passare per te? il mio era un commento alla volontà dell'OP di non usare i servizi (come questo) che salvano le password in chiaro.

    Non ho nessun interesse nella tua email, password o nei tuoi dati bancari.
    non+autenticato
  • Commento solo come anonimo quindi non ho alcuna password salvata su PI...
    È comunque un problema nel senso che qualcuno può usare liberamente il nic che stò usando e postare con uno stile simile al mio dicendo cose che non direi mai, ma non è il mio vero nome&cognome, è solo un nic e si può scoprire la cosa facilmente. Quindi non è un problema.

    In effetti quello di certe registrazioni è uno dei motivi per cui abbandonai OSSBlog tempo fa.
    non+autenticato
  • - Scritto da: xte
    > Se il servizio che usi salva le password al posto
    > degli hash più di cambiar password IMVHO è tempo
    > di cambiar
    > servizio.

    Se vuoi/devi usare un determinato servizio sei costretto ad usare quel determinato servizio così com'è. Ad esempio se volessi registrarmi qui su PI... o prendere o lasciare: password in chiaro sul DB oppure non mi "potrei" registrare.

    Ma la verità è che molte volte non si puo' sapere. Se ti iscrivi su un sito.... anche se fosse un sito istituzionale, di una banca, di un servizio postale ecc.... come si fa a sapere come la password viene salvata? Non lo si puo' sapere a priori. Almeno che non ci sia scritto da qualche parte nelle FAQ sulla sicurezza ...e che poi sia vero! perché questa è tutta un'altra storia, di sistemi super-sicuri che funzionano come blackbox(es: qualsiasi sito web) dove poi si è scoperto che la sicurezza lasciava molto a desiderare ce ne sono stati svariati in passato...
    non+autenticato
  • - Scritto da: ben10
    > - Scritto da: xte
    > > Se il servizio che usi salva le password al
    > posto
    > > degli hash più di cambiar password IMVHO è
    > tempo
    > > di cambiar
    > > servizio.
    >
    > Se vuoi/devi usare un determinato servizio sei
    > costretto ad usare quel
    > determinato servizio così com'è. Ad esempio se
    > volessi registrarmi qui su PI... o prendere o
    > lasciare: password in chiaro sul DB oppure non mi
    > "potrei"
    > registrare.
    >
    > Ma la verità è che molte volte non si puo'
    > sapere. Se ti iscrivi su un sito.... anche se
    > fosse un sito istituzionale, di una banca, di un
    > servizio postale ecc.... come si fa a sapere
    > come la password viene
    > salvata? Non lo si puo' sapere a priori. Almeno
    > che non ci sia scritto da qualche parte nelle FAQ
    > sulla sicurezza ...e che poi sia vero! perché
    > questa è tutta un'altra storia, di sistemi
    > super-sicuri che funzionano come blackbox(es:
    > qualsiasi sito web) dove poi si è scoperto che la
    > sicurezza lasciava molto a desiderare ce ne sono
    > stati svariati in
    > passato...

    Tu comincia ad usare user e password diversi per servizi diversi, cosi' se uno di questi venisse violato, non possono usare le credenziali che trovano per accedere ad altri servizi.

    E questa cosa la puoi fare da te, e la tua sicurezza migliora.

    Se poi qualche sito di una certa rilevanza (banca?) viene violato e si scopre che le password erano in chiaro, e gli utenti hanno subito dei danni per questo, esistono apposta avvocati e tribunali.
  • La mail (indirizzo) è un dato sostanzialmente pubblico quindi che appaia spudoratamente pubblicato per la gioia degli spammer è cosa che si mette in conto da quando si crea una mail. Le password si insegna, credo già ai periti, senza scomodare le università, si insegni che le password non si salvano in chiaro ma come hash, normalmente anche salt-ato.

    Banalmente se avete un terminale *nix (quindi OSX incluso) sottomano
       echo password | md5sum -
    se non trova md5sum può essere solo md5 (*BSD), quel che esce
       286755fad04869ca523320acce0dc6a4
    è l'hash da salvare. Quando si riceve una password dal client si genera allo stesso modo l'hash e deve corrispondere o la password è errata.

    Se qualche istituzione non fa così è opportuno lasciar la falla in secondo piano e pensare a cambiare IT. Le configurazioni/applicazioni nel caso sarebbero semplicemente da tirar dalla finestra.
    non+autenticato
  • Ma che cazzo dici? CHE DICI? CHE MINCHIAZZA DICI? Torna a studiare LATINO vah, che quest'anno TI BOCCIANO ragazzino di 15 anni
    non+autenticato
  • Cosa c'è? Dall'alto della tua seconda media non riesci neanche ad argomentare? Intanto dovresti studiare l'Italiano, ché a leggerti vien da ridere, altro che latino! Rotola dal ridere
    non+autenticato
  • Molto onorato del ringiovanimento attribuitomi, in effetti sarebbe interessante esser a 15 anni quel che sono oraA bocca aperta

    Adesso, da bravo, cerca di spiegati, anche un disegnino va bene, proveremo a tradurre.
    non+autenticato
  • - Scritto da: xte
    > Molto onorato del ringiovanimento attribuitomi,
    > in effetti sarebbe interessante esser a 15 anni
    > quel che sono ora
    >A bocca aperta
    >
    > Adesso, da bravo, cerca di spiegati, anche un
    > disegnino va bene, proveremo a
    > tradurre.

    C'e' poco da tradurre: quello li' e' uno sparagestionali che ha sempre salvato le password in chiaro nelle sue applicazioni imponendo pure il limite di otto caratteri tutti numerici.
  • Quale parte di:

    "Tra i dati, organizzati in 111 file TXT, vi sono 13 milioni di domini email, per un totale di oltre 593 milioni di email uniche interessate, comprese di relative password"

    non ti è chiara?
    non+autenticato
  • Proprio perché l'articolo mi è chiaro ho spiegato, a buon pro di coloro che ancora non lo sapessero, che NON si deve salvare le password lato server (e ovunque possibile manco lato client) ma solo i loro hash. Sorvolando su salt e sui vari algoritmi di hashing ed il relativo background matematico essendo talmente banale il loro uso non è giustificabile che vengano rubate password.

    Ti è più chiaro così? Se non lo fosse: le funzioni di hashing sono dette non invertibili ovvero è materialmente quasi impossibile risalire al contenuto che ha generato l'hash (file, stringa di testo ecc) a partire da quest'ultimo ma se si ha il contenuto originale (es. la password che l'utente ti invia) allora avrai sempre lo stesso hash in output. Ovvero ancora tu ricevi la password. A partire da questa generi l'hash e lo salvi nel tuo bel db e butti via la password. L'utente torna ad autenticarsi in futuro, tu prendi la password che ti dà, generi l'hash: se questo corrisponde a quello salvato l'autenticazione ha successo altrimenti fallisce. Il costo computazionale è trascurabile nel processo e se sei "bucato" il tuo db contiene solo coppie di:
       mail@dominio.tld $hash
    ed essendo l'hash non invertibile non puoi usare la password che non hai per impersonare l'utente.

    Da ciò ne consegue che, se queste coppie di mail+password sono valide, qualche sviluppatore ha lavorato MOLTO male ad un punto tale che è opportuno occuparsi più di lui/di ciò che ha fatto che dell'attacco in se. Tanto se il sistema è così malfatto la compromissione è a priori da considerarsi TOTALE.

    Aggiungo anche che i vari siti di verifica per controllare se "sei nella lista" sarebbero da evitare: per l'autore del sito è un comodo modo di verificare "a priori" se i dati pubblicati sono reali (se un utente si cerca, si suppone che la mail allora non sia falsa)...

    Ho chiarito qualcosa o dato da mangiare al troll?
    non+autenticato
  • Piantala di parlare di cose che non conosci. L'esempio dell'md5 che hai fatto è una cazzata, proprio perché per quanto l'md5 sia (ovviamente) meglio di una password in chiaro, usare un md5 senza salt oggi è un'oscenità bella e buona visto quanto è facile e veloce cercare di craccarle interi DB con tool e wordlist appositi. Solo un demente al giorno d'oggi userebbe le password salvate come un semplice md5.
    non+autenticato
  • - Scritto da: ...
    > Piantala di parlare di cose che non conosci.
    > L'esempio dell'md5 che hai fatto è una cazzata,
    > proprio perché per quanto l'md5 sia (ovviamente)
    > meglio di una password in chiaro, usare un md5
    > senza salt oggi è un'oscenità bella e buona visto
    > quanto è facile e veloce cercare di craccarle
    > interi DB con tool e wordlist appositi. Solo un
    > demente al giorno d'oggi userebbe le password
    > salvate come un semplice
    > md5.

    Stai spiegando tutto ciò sul forum di un sito che salva le password degli utenti in chiaro sul DB.
    non+autenticato
  • - Scritto da: ...
    > Piantala di parlare di cose che non conosci.
    > L'esempio dell'md5 che hai fatto è una cazzata,
    > proprio perché per quanto l'md5 sia (ovviamente)
    > meglio di una password in chiaro, usare un md5
    > senza salt oggi è un'oscenità bella e buona visto
    > quanto è facile e veloce cercare di craccarle
    > interi DB con tool e wordlist appositi. Solo un
    > demente al giorno d'oggi userebbe le password
    > salvate come un semplice md5.

    L'utilizzo di md5 è ufficialmente deprecato (assieme alla new entry SHA-1) perché sono state dimostrate delle collisioni e non perché sia triviale eseguirne il brute force: se l'utente utilizza come password di accesso ad un qualsiasi servizio la stringa ''12345689'' oppure ''qwerty'' non c'è hash che tenga...la sicurezza è compromessa in origine a prescindere dall'algoritmo utilizzato, fosse anche SHA3-512 oppure Skein.

    Se quello che sto dicendo non è esatto allora puoi sempre confutarlo trovando la password collegata a questo MD5, utilizzando il brute-force con o senza dizionari:

    8b5514d29879906f5bed52513ffca738

    Per la cronaca si tratta di un MD5 'puro', quindi ottenuto senza utilizzo di procedure crittografiche intermedie e/o tecniche di salting.
  • md5 c'è direi di default un po' ovunque quindi per fare un esempio utile a spiegare un concetto all'utente medio va più che bene, altre soluzioni (openssl, python con crypt, doveadm pw, ...) non sono disponibili ovunque ed aggiungono un layer di complessità inutile all'esempio, dove peraltro ho citato "che le password non si salvano in chiaro ma come hash, normalmente anche salt-ato".

    Riesci ad aver l'apertura mentale di complendere un esempio minimale funzionante sperimentabile su qualsiasi terminale *nix, OSX incluso? O sei di quelli che vogliono il trattato completo che nessun utente legge e nessun "pratico del settore" sfiora di striscio, il primo perché non capisce il secondo perché lo sa a memoria? Non lavoro mica per Cisco eh!
    non+autenticato