Fuga di dati dal database rivela 184 milioni di email e password rubate da Infostealer

Il ricercatore di sicurezza informatica Jeremiah Fowler ha scoperto un server cloud mal configurato contenente ben 184 milioni di credenziali di accesso, probabilmente raccolte tramite malware infostealer.

Il ricercatore di sicurezza informatica Jeremiah Fowler ha scoperto un database non configurato correttamente e non protetto, contenente oltre 184 milioni di nomi utente e password univoci. Secondo la ricerca di Fowler, condivisa con Hackread.com, questa raccolta esposta ammontava a circa 47,42 gigabyte di dati.

Il database, non protetto da password o crittografia, memorizzava le credenziali di numerosi servizi online, tra cui noti provider di posta elettronica, importanti piattaforme tecnologiche come Microsoft e siti di social media come Facebook, Instagram, Snapchat e Roblox.

Peggio ancora, la fuga di dati conteneva anche informazioni di accesso a conti bancari, piattaforme sanitarie e persino portali governativi di diverse nazioni, esponendo individui ignari a un rischio elevato. Fowler ha confermato l'autenticità di alcuni dati contattando le persone i cui indirizzi email sono stati trovati nel database. Diverse persone hanno verificato che le password elencate fossero effettivamente accurate e valide.

Dopo la scoperta, Fowler ha prontamente informato il provider di hosting e il database è stato rimosso dall'accesso pubblico. L'indirizzo IP del database rimandava a due nomi di dominio, uno dei quali sembrava non registrato. A causa dei dettagli di registrazione privati, il vero proprietario di questa cache di dati rimane sconosciuto.

Non è inoltre chiaro per quanto tempo queste informazioni sensibili siano rimaste esposte o se altri malintenzionati vi abbiano avuto accesso prima della loro scoperta. Poiché il provider di hosting non ha rivelato i dati dei clienti, lo scopo della raccolta dati è legato ad attività criminali o a ricerche legittime con svista.

A quanto pare, il database apparteneva a criminali informatici che raccoglievano dati tramite infostealer, finendo per rivelare il proprio database. Gli infostealer sono strumenti ampiamente utilizzati ed efficaci tra i criminali. Alcuni rapporti hanno dimostrato che persino l'esercito e l'FBI statunitensi hanno subito la compromissione dei loro sistemi da parte di infostealer, con costi di appena 10 dollari.

Il malware Infostealer è progettato specificamente per raccogliere segretamente informazioni sensibili dai computer infetti, in genere prendendo di mira le credenziali di accesso memorizzate nei browser Web, nei programmi di posta elettronica e nelle app di messaggistica.

Il resoconto di Hackread.com sulla recente azione coordinata di Microsoft ed Europol per interrompere l'infrastruttura di Lumma Stealer , che ha infettato oltre 394.000 computer Windows in tutto il mondo, offre uno spaccato fondamentale del tipo di minaccia evidenziato dalla scoperta di Fowler.

Come analizzato da Fowler, i dati, spesso credenziali grezze e URL per le pagine di accesso, corrispondono perfettamente a ciò che gli infostealer come Lumma sono progettati per rubare. Sebbene Fowler non sia riuscito a identificare con certezza il malware specifico responsabile del database esposto, le caratteristiche dei dati suggeriscono fortemente tale metodo.

Che i criminali informatici espongano i propri server non è una novità. Solo pochi mesi fa, alcuni report hanno rivelato che i noti gruppi di hacker ShinyHunters e Nemesis avevano collaborato per individuare ed estrarre dati da bucket AWS esposti , per poi perdere accidentalmente i propri dati nel processo.

La disponibilità di milioni di credenziali di accesso rappresenta un vantaggio significativo per i criminali informatici, che possono sfruttarle con metodi come gli attacchi di "credential stuffing " e " account takeover ". Questi attacchi consentono ai criminali di accedere ai dati personali, consentendo il furto di identità o la frode finanziaria.

I dati esposti possono includere anche credenziali aziendali, con conseguenti rischi di spionaggio aziendale, e persino reti statali sensibili. Conoscere un indirizzo email e una vecchia password può rendere più convincenti gli attacchi di phishing e di ingegneria sociale.

Fowler esorta gli utenti a smettere di usare la posta elettronica come archivio di dati attendibili, ad aggiornare regolarmente le password, soprattutto in caso di violazioni sconosciute, a non riutilizzare mai password univoche per più account, a utilizzare l'autenticazione a due fattori (2FA) e ad abilitare le notifiche di accesso o gli avvisi di attività sospette.