Procedono le indagini dello Csirt sulla messa in vendita i dati di circa 7,4 milioni di italiani, che il criminal hacker venditore asserisce essere quelli di vaccinati Covid19.
Una vicenda dove ci sono ancora molti aspetti poco chiari, ma a quanto ci risulta le indagini ora puntano al portale unico di prenotazione vaccino della Regione Campania come fonte di almeno la maggior parte dei dati (4 milioni circa), per una vulnerabilità al database.
Indice degli argomenti
I dati che sono in vendita sugli italiani vaccinati
Parliamo di 7.395.688. dati che includono nomi, indirizzi, numeri di telefono, codici fiscali, date di nascita e altre informazioni.
Ci sono 6.583.199 (89%) indirizzi e-mail univoci e 5.324.895 (72%) password. L’artefice del post è il Threat Actor Mastiff – già noto per leak simili – dichiara di aver esfiltrato questi dati attraverso alcune vulnerabilità ancora presenti su un sistema online.
I sample che i criminal Hacker ha messo a disposizione fanno riferimento unicamente a diverse ASL e CAP di residenza relative a regioni del Centro/Sud Italia.” Stiamo ovviamente parlando di sample e non abbiamo al momento visibilità completa dei 7.4 milioni di dati compromessi. Molto probabilmente parliamo di portali di prenotazione vaccini di tipo regionale in considerazione del volume di dati a disposizione. I pochi indizi a disposizione potrebbero far supporre ad uno o più portali di prenotazione compromessi attraverso un attacco di SQL- Injection”, spiega Pierguido Iezzi, fondatore di Swascan.
Troverebbe conferma quindi nelle indagini dello Csirt, a quanto risulta, l’ipotesi avanzata, per primo, dall’esperto di sicurezza Matteo Flora.
“Lo stesso Threat Actor Mastiff da febbraio ad oggi ha all’attivo circa 17 post relativi alla vendita di data leak e databreach. Alcuni di questi post fanno riferimento ad altri target italiani”, continua Iezzi.
Le indagini dello Csirt sul portale Regione Campania e gli psicologi
A quanto risulta a questo giornale, lo Csirt starebbe puntando le indagini sul portale unico prenotazione Regione Campania, come principale indiziato.
“Mastiff mi ha specificato di aver bucato 5-6 applicazioni di prenotazione”, aggiunge Flora al nostro giornale. I portali di prenotazione bucati potrebbero quindi essere di varie località, quindi; anche se i cap dei dati in vendita sembrano puntare soprattutto sulla Campania. O almeno è quanto si desume dal sample di mille indirizzi disponibile, che potrebbe non essere rappresentativo del totale dei 7 milioni.
Il grande numero, nel database in vendita, di persone iscritte all’ordine degli psicologi si può spiegare invece con un leak precedente, che Mastiff avrebbe aggiunto al nuovo per avere un pacchetto di dati più sostanzioso e quindi più attraente alla vendita. Una prassi abbastanza comune in questo tipo di compra-vendite.
“Possibile anche che abbia preso i dati pubblici degli ordini che sono online, messi in un database, fatto enumeration di tutte le applicazioni locali per prendere altri dati e così composto il database”, spiega Flora.
Una normale storia di cyber insicurezza pubblica italiana
La vicenda non deve sorprendere, in generale. Le prassi di cyber security e cyber hygiene nel mondo pubblico, della PA locale in particolare, lasciano ancora molto a desiderare. Come detto dal ministro all’innovazione Colao pochi giorni fa e come confermato dal recente caso che ha rivelato una password scritta sul muro e di una semplicità disarmante, per l’accesso a servizi vaccinali.
Riunione tra il capo della Protezione Civile Curcio e il commissario all’emergenza Figliuolo per la nuova strategia della campagna vaccinale, allo studio criteri validi per tutte le regioni. “Ce la faremo”, così il Presidente Mattarella pic.twitter.com/w8jxS0gmo5
— Tg3 (@Tg3web) March 6, 2021
E si ricorderà la vulnerabilità dell’ATS Milano svelata dallo stesso Flora e rivelante gravi superficialità di programmazione.
Speriamo che la nuova agenzia per la cybersicurezza nazionale e l’attuazione del perimetro cibernetico, anche ampliato alla Sanità, possa dare una svolta. Ci vorranno ancora mesi, di tempo ne abbiamo perso tanto e i risultati si vedono.
