Un database contenente 149 milioni di nomi utente e password di account, inclusi 48 milioni per Gmail, 17 milioni per Fb e 420.000 per la piattaforma di criptovaluta Binance, è stato rimosso dopo un ha riferito il ricercatore l’esposizione al fornitore di internet hosting.
L’analista di sicurezza di lunga knowledge che ha scoperto il database, Jeremiah Fowler, non è riuscito a trovare indicazioni su chi lo possedesse o lo gestisse, quindi ha lavorato per avvisare l’host, che ha rimosso il tesoro perché violava un accordo sui termini di servizio.
Oltre agli accessi a e-mail e social media per una serie di piattaforme, Fowler ha anche osservato credenziali per sistemi governativi di più paesi, nonché accessi a banche di consumo, carte di credito e piattaforme di streaming multimediale. Fowler sospetta che il database sia stato assemblato tramite l’infostealing di malware che infetta i dispositivi e quindi utilizza tecniche come il keylogging per registrare le informazioni che le vittime digitano nei siti internet.
Durante il tentativo di contattare il servizio di internet hosting nel corso di circa un mese, Fowler afferma che il database ha continuato a crescere, accumulando ulteriori accessi per una serie di servizi. Non nomina il fornitore, perché la società è un host globale che stipula contratti con società regionali indipendenti per espandere la propria portata. Il database è stato ospitato da uno di questi affiliati in Canada.
“Questa è come una lista dei desideri da sogno per i criminali, perché hai così tanti diversi tipi di credenziali”, ha detto Fowler a WIRED. “Un infostealer avrebbe più senso. Il database period in un formato creato per indicizzare log di grandi dimensioni, come se chiunque lo avesse configurato si aspettasse di raccogliere molti dati. E c’erano tonnellate di accessi governativi da molti paesi diversi.”
Oltre ai 48 milioni di credenziali Gmail, il tesoro conteneva anche circa 4 milioni per gli account Yahoo, 1,5 milioni per Microsoft Outlook, 900.000 per iCloud di Apple e 1,4 milioni per account accademici e istituzionali .edu. Ci sono stati, tra gli altri, anche circa 780.000 accessi per TikTok, 100.000 per OnlyFans e 3,4 milioni per Netflix. I dati erano accessibili pubblicamente e ricercabili utilizzando solo un browser internet.
“Sembrava che catturasse qualsiasi cosa, ma una cosa interessante period che il sistema sembrava classificare automaticamente ogni registro con un identificatore, e questi erano identificatori univoci che non riapparivano”, cube Fowler. “Sembrava che il sistema organizzasse automaticamente i dati per facilitare la ricerca.
Anche se Fowler sottolinea di non aver determinato chi possedeva o utilizzava le informazioni e per quale scopo, una struttura del genere avrebbe senso se i dati venissero interrogati da clienti criminali informatici che pagano per diversi sottoinsiemi di informazioni in base alle loro truffe.
Esiste un flusso apparentemente infinito di database on-line erroneamente non protetti e accessibili al pubblico che espongono informazioni sensibili a cui chiunque può accedere. Ma man mano che i dealer di dati e i criminali informatici accumulano tesori sempre più grandi, la posta in gioco di potenziali violazioni non fa che aumentare. Inoltre, il malware di infostealing ha aggravato il problema rendendo semplice e affidabile per gli aggressori automatizzare la raccolta delle credenziali di accesso e di altri dati sensibili.
“Gli infostealer creano una barriera d’ingresso molto bassa per i nuovi criminali”, afferma Allan Liska, analista di intelligence sulle minacce presso la società di sicurezza Recorded Future. “Affittare un’infrastruttura popolare, abbiamo visto costi tra i 200 e i 300 dollari al mese, quindi per meno del pagamento di un’auto, i criminali potrebbero potenzialmente avere accesso a centinaia di migliaia di nuovi nomi utente e password al mese”.
