Un gruppo di hacker ‘bucano’ un server di uno dei principali provider di posta elettronica italiani
Il popolare provider Italiano di posta elettronica italiano Email.it è stato violato da un gruppo di hacker di nome NN Hacking Group ha messo in vendita nel dark web i dati rubati all’azienda.
La notizia si è diffusa in rete a partire da domenica scorsa, quando il gruppo di hacker ha diffuso la notizia dell’hack attraverso il proprio account Twitter condividendo immagini relative ai dati trafugati dall’azienda.
Secondo gli hacker, i dati esfiltrati sono relativi ad utenti con account attivi dal 2017, ed aspetto imbarazzante della storia è che le password relative agli account di post del provider sarebbero stati memorizzati in chiaro da allora.
Il dump messo in vendita dal gruppo di hacker comprende 44 database contenenti nomi utente e password in chiaro, domande di sicurezza, messaggi e-mail e relativi allegati per tutti i 600K account di posta elettronica, ed SMS e fax in chiaro inviati e ricevuti dagli utenti. Va specificato che i database contengono solo dati relativi agli utenti che si sono registrati per avere un account di posta gratuito, mentre gli account “professionali,” o business, non sono stati coinvolti.
Non parrebbero esser stati rubati dati finanziarie degli utenti in quanto non memorizzati dei server dell’azienda compromessi dagli hacker.
Di seguito è riportata un’immagine del Tweet condiviso dall’azienda che include anche il collegamento ad un sito ospitato nella rete Tor utilizzato dal gruppo NN Hacking Group per vendere i dati rubati.
Di seguito il messaggio pubblicato dal gruppo sul sito Tor utilizzato per la vendita dei dati, sul quale vorrei fare qualche riflessione.
“Abbiamo compromesso il datacenter di Email.it più di 2 anni fa e ci siamo presentati come un APT. Abbiamo preso tutti i possibili dati sensibili dal loro server e dopo aver scelto di dare loro la possibilità di correggere le loro falle chiedendo una piccola riconpensa. Si sono rifiutati di parlare con noi e hanno continuato ad ingannare i loro utenti / clienti. Non hanno contattato i loro utenti / clienti dopo le violazioni! “ legge il messaggio pubblicato dal gruppo sul suo sito Web.
Gli attaccanti non sono di origine inglese a giudicare dal lessico utilizzato. Il messaggio in italiano scritto nel Tweet è ben scritto e suggerisce che gli attaccanti potrebbero essere Italiani. Si riferisce di un attacco accaduto ben due anni fa, e non è chiaro se la trattativa con l’azienda sia andata avanti per ben due anni.
Oggettivamente se questa circostanza fosse confermata dalle indagini, il gruppo di attaccanti si sarebbero esposti a possibili investigazioni per un tempo anomalo, e questo suggerirebbe che non ci si trova dinanzi ad un gruppo specializzato in data breach. Il fattore tempo è determinante anche per comprendere le responsabilità dell’azienda secondo la vigente regolamentazione per la privacy, il GDPR.
Le aziende sono tenute e denunciare una violazione di dati entro 72 ore dalla scoperta dello stesso e che anche gli utenti dovrebbero esser informati tempestivamente.
Sembrerebbe che gli hacker abbiano tentato di ricattare il fornitore italiano minacciando di rilasciare i dati rubati, ma la società ha rifiutato di pagare e ha denunciato l’incidente alla polizia postale italiana.
A questo punto il gruppo di hacker ha deciso di tentare di vendere i dati di Email.it online per un prezzo che varia tra 0,5 bitcoin ($ 3,500) per l’elenco completo delle credenziali fino a 3 bitcoin ($ 22000) per l’intero dump contenente i messaggi di posta ed i FAX/SMS.
Gli hacker sostengono di essere in possesso anche del codice sorgente di tutte le app Web di Email.it.
Al momento della scrittura di questo articolo, Email.it ha confermato di aver messo in sicurezza il server attaccato risolvendo le falle sfruttare dagli hacker e di aver segnalato l’incidente alla Polizia Postale ed al garante per la privacy.
Aggiornamento 7 Aprile, 2020 ore 17:35
Ho contattato il gruppo di hacker per avere maggiori informazioni sull’attacco al provider Email.it, di seguito le domande e le relative risposte
D: Siete stati voi ad aver hackerato il provider?
R: Sì, abbiamo violato il datacenter http://Email.it
D: Potreste darmi maggiori dettagli sull’attacco? Che tipo di falle avete sfruttato?
R: Molte. Abbiamo concatenato exploit per diverse falle, tra cui SQL Injection, code execution, escalation di privilegi e così via.
D: Perché avete hackerato Email.it?
R: Ovviamente abbiamo preso di mira e violato altri provider. E-mail. È stato il peggiore in termini di sicurezza, quindi abbiamo scelto di pubblicare i dati dei suoi utenti. Email.it ha rifiutato di risponderci anche se abbiamo proposto di aiutarli a risolvere i problemi dietro pagamento.
D: Avete provato a contattare l’azienda?
R: Sì, molte volte dall’inizio del 2020, ma si sono rifiutati di risponderci.
D: Quando è stato violato il server? I dati nel DB sono aggiornati?
R: Sì, i dati sono aggiornati, il DB è aggiornato al 2020
