L’attività di monitoraggio dei data leak condotta da D3Lab opera su svariate fonti al fine di rilevare il rilascio di informazioni sensibili; l’attenzione viene quindi riposta sia sugli ambienti underground e cyber criminali, sia sugli strumenti che da questi possono essere utilizzati ed i siti di “paste” rappresentano uno di questi.
Il monitoraggio della piattaforma Pastebin ha portato dall’inizio dell’anno ad identificare la condivisione di innumerevoli pubblicazioni aventi per contenuto dati personali collegabili ad utenti principalmente italiani, senza che ad oggi sia stato individuato uno specifico target essendo i dati ricollegabili a molteplici enti senza distinzione tra settore pubblico e privato.
I Paste rilevati nelle prime settimane di Gennaio riportavano titoli del tipo “10K VERSI” o “11K IT”, distribuiti in varie versioni.
Nella tarda serata di ieri D3Lab ha rilevato la pubblicazione di un altro Paste contenente record esclusivamente italiani, come nei casi precedenti.
Il Paste dal titolo “5K” è stato pubblicato da utente “guest” e riporta la data del 10 Febbraio – ore 23:49. Il Paste risulta attualmente rimosso, ma è stato acquisito dalle piattaforme di monitoraggio in uso presso D3Lab.
La particolarità di quest’ultimo Paste risiede nell’individuazione al suo interno di una rilevante presenza di account appartenenti al dominio cri.it, che fa capo alla Croce Rossa Italiana, a cui si aggiunge un nutrito numero di account sempre relativi alla CRI, ma attestati su domini non ufficiali, facenti capo ad enti locali.
Il Paste contiene un elenco composto da 5000+ account email e relative password in chiaro. La lista degli account presenti nel Paste riporta la seguente struttura: email|password
Top 10 domini coinvolti
Come si evince dal grafico, il dominio principalmente coinvolto è “cri.it” con 1658 record, seguito da numerosi domini email utilizzati in Italia.
Domini collegati a cri.it
Dalle analisi del contenuto risultano coinvolti 75 domini collegati alla Croce Rossa Italina suddivisi per sezioni (province e regioni) per un totale di 1813 account della CRI. Di seguito il grafico dei principali domini CRI presenti nel Paste ad eccezione del dominio principale “cri.it”.
Conclusioni
Appare piuttosto palese che i dati pubblicati hanno come target l’Italia, sono infatti 4276 gli account email con dominio .it. Inoltre, in data odierna il contenuto del Paste è stato aggiunto al database della nota piattaforma HaveIBeenPwned e probabilmente molte altre entità operanti sul web sono in possesso dei dati personali in esso riportati.
Poichè un aggressore motivato potrebbe facilmente entrare in possesso di tali dati, si consiglia di ricercare il proprio account all’interno della piattaforma HIBP ed eventualmente provvedere all’immediata modifica della password, soprattutto qualora le medesime credenziali vengano utilizzate per l’accesso ad altri servizi.
Nel pomeriggio odierno si è provveduto a inoltrare la segnalazione a CRI, nonostante le difficoltà di individuare l’ufficio/contatto preposto alla gestione delle minaccia in esame.