Un enorme archivio contenente le credenziali per l’accesso a 617 milioni di account rubati e appartenenti a 16 piattaforme diverse è in vendita sul Dark Web, a un prezzo che si aggira complessivamente a poco meno di 18.000 euro. Ovviamente la valuta richiesta per la transazione è una crypto, più precisamente Bitcoin, così da impedirne il tracciamento e garantire l’anonimato a chi la intasca.
Account rubati: 617 milioni sul Dark Web
L’inserzione è comparsa su Dream Market, un luogo virtuale di compravendita accessibile mediante la rete Tor. La redazione del sito The Register ha avuto modo di mettere le mani su un piccolo estratto dell’archivio, analizzandolo e confermandone l’autenticità. Per gran parte dei servizi colpiti sono riportati il nome proprio dell’utente, la credenziale utilizzata per il processo di login e la relativa password, quest’ultima in forma crittografata (spesso ricorrendo all’algoritmo MD5) e che dunque dev’essere decifrata prima di poter essere impiegata. In alcuni casi i file contengono anche informazioni su localizzazione, dettagli personali e token per l’accesso ai social network. Non sembrano essere interessati metodi di pagamento come le carte di credito.
I servizi colpiti dal furto di credenziali
Come detto in apertura, sono 16 le piattaforme colpite dal furto di dati, alcune delle quali hanno già confermato in via ufficiale l’accaduto. Ne riportiamo di seguito l’elenco completo, seguito da una stima approssimativa del numero di account interessati e il prezzo fissato per il download.
- Dubsmash (162 milioni, 0,549 BTC);
- MyFitnessPal (151 milioni, 0,249 BTC);
- MyHeritage (92 milioni, 0,549 BTC);
- ShareThis (41 milioni, 0,217 BTC);
- HauteLook (28 milioni, 0,217 BTC);
- Animoto (25 milioni, 0,318 BTC);
- EyeEm (22 milioni, 0,289 BTC);
- 8fit (20 milioni, 206 BTC);
- Whitepages (18 milioni, 0,434 BTC);
- Fotolog (16 milioni, 0,52 BTC);
- 500px (15 milioni, 0,217 BTC);
- Armor Games (11 milioni, 0,275 BTC);
- BookMate (8 milioni, 0,159 BTC);
- CoffeeMeetsBagel (6 milioni, 0,13 BTC);
- Artsy (1 milione, 0,03 BTC);
- DataCamp (700.000, 0,13 BTC).
Ogni parte dell’archivio può essere acquistata separatamente. Come si può notare dalle cifre riportate qui sopra, non sempre il prezzo è direttamente proporzionale al numero di account compromessi: la somma è con tutta probabilità stabilita sulla base di diversi fattori come la freschezza del leak (se più recente, vale di più) o la tipologia di informazioni gestite da ogni specifica piattaforma.
L’autore di questo nuovo maxi-furto dichiara di aver iniziato la sua attività di raccolta delle credenziali nell’ormai lontano 2012, sfruttando le vulnerabilità scovate nelle applicazioni e nelle interfacce Web dei servizi, arrivando a collezionare un totale pari a 20 database come quello di cui si parla in questo articolo. Non è dunque da escludere che al pacchetto finito in vendita sul Dark Web ne seguano altri a breve. La sua identità rimane ovviamente anonima, pur essendosi concesso con qualche breve dichiarazione alle pagine di The Register. Ne riportiamo un estratto di seguito in forma tradotta.
Non penso di essere profondamente malvagio. Mi serve denaro. Devo diffondere i leak. La sicurezza è solo un’illusione. Ho iniziato a fare hacking molto tempo fa. Sono solo uno strumento usato dal sistema. Tutti sappiamo delle misure adottate per prevenire gli attacchi, ma con il rilascio di questi archivi renderà le operazioni di hacking più semplici che mai.
Perché la Collection è gratis e questo no?
È ancora fresco il ricordo della Collection #1-#6, quella gigantesca raccolta di login e password finita online nelle scorse settimane. A differenziare il pacchetto di cui si parla oggi è il fatto che in questo caso per il suo download viene richiesto un pagamento in Bitcoin. Per quale motivo? Principalmente perché le credenziali contenute sono state sottratte da leak più recenti e risultano dunque di maggior valore per chi desidera sfruttarle tentando di accedere agli account dei malcapitati sui vari servizi online.
EyeEm e 500px sono tra i primi servizi che hanno iniziato ad avvisare i loro iscritti dell’avvenuto leak, chiedendo un’immediata modifica della password così da scongiurare qualsiasi rischio di compromissione. Per mettersi al riparo dal pericolo e garantire un adeguato livello di sicurezza, la regola d’oro da seguire è sempre la stessa: non utilizzare lo stesso codice segreto di accesso su più piattaforme.