AnonPlus attacca la SIAE: pubblicato un archivio dati di oltre 2 Gb

Indice

Nel marasma degli attacchi della settimana nera da parte di LulzSecITA e Anonymous, se ne è aggiunto un altro “molto interessante” ai danni della SIAE. L’avviso è stato pubblicato sul canale Twitter di AnonPlus con un ricco archivio di oltre 2 Gb…

Ecco come si presenta il tweet di AnonPlus con il quale da la notizia dell’hack della SIAE

AnonPlus  (An0nPlu5) cita nel tweet due persone: la prima è Umberto Rapetto, noto per la sua esperienza nel campo dei reati informatici:

Umberto Rapetto (Acqui Terme, 19 agosto 1959) è un generale italiano della Guardia di Finanza.Ex-allievo della Scuola militare “Nunziatella”, generale di brigata (riserva) della Guardia di Finanza e già comandante del Nucleo Speciale Frodi Telematiche. [Fonte: Wikipedia]

Il secondo è Arturo Di Corinto, giornalista particolarmente impegnato nel seguire tematiche di tecnologia e Cyber Security per conto di molte testate editoriali.

Il de-facing della società SIAE

La presenza di Rapetto è, chiaramente, una provocazione ma di preciso cosa è stato fatto?

De facing della SIAE e sottrazione dei dati

La SIAE, a differenza di altri soggetti, è stata abbastanza rapida a ripristinare il sito. Il sito, tuttavia, appariva come mostrato nell’immagine pubblicata direttamente da AnonPlus su Twitter.

Ma cosa c’era dentro l’archivio?

File: siae_dump.gz
Dimensione compresso: 278 MB
Dimensione non compreso: 4.04 GB

Si tratta del dump dell’intero database del portale della SIAE basato sul software DRUPAL.

-- MySQL dump 10.13  Distrib 5.5.61, for Linux (x86_64)
-- Host: siae-rds-mysql-prod.c80o09gom219.eu-west-1.rds.amazonaws.com Database: drupalprd

Poter leggere un file di testo da 4 Gb richiede una discreta quantità di memoria ma anche molta pazienza se aperto con un normale editor di testo.  Prima di addentrarci nell’analisi dati cerchiamo di dare qualche risposta base per i meno esperti.

Che cosa è Drupal?

Drupal è un CMS un content management system: permette, in sostanza, di gestire e pubblicare contenuti in modo semplice e alla portata di tutti. Drupal, tuttavia, come tutti gli altri applicativi similari richiede alcune attenzioni tra cui:

  1. È fondamentale installare tutti gli aggiornamenti software
  2. Evitare l’utilizzo di personalizzazioni che facciano uso di codice deprecato che possa creare falle nel sistema
  3. Utilizzare password decenti

Cosa è il DUMP del database? 

Il DUMP è un’estrazione del database: una copia per farla semplice.

  1. Estrarre l’intero DUMP significa aver avuto accesso all’intero database, cosa che generalmente non avviene.
  2. Dall’intero database si può avere visibilità di tabelle non pubbliche e accedere a dati potenzialmente riservati.

Cosa c’era nell’archivio SIAE

Ci vuole molto tempo per esaminare i dati di un DUMP per un’azienda come quella della SIAE. Nei dump dei portali generalmente

Nel caso della SIAE la situazione è più o meno la seguente: 346 di cui forse una delle più importanti è la tabella USERS

Colonne: 17
Righe: 310.843
Composizione: uid, name, pass, mail, theme, signature, signature_format, created,access, login, status, timezone, language, picture, init, data, uuid

Le password della tabella users sono tutte crittografate (SHA-512), impostazione predefinita di Drupal. Da una prima analisi non risultano esserci dati “riservati” appartenenti ad utenti terzi ad eccezione di Nome, Cognome e mail ma di sicuro il fatto che il DUMP sia in possesso degli hacker dovrebbe far dormire sogni agitati alla TSC-Consulting a cui è associato lo username admin.

La stringa dell’admin opportunamente occultata 

Nota di colore: usare admin all’interno di un portale è prassi non raccomandata ma largamente diffusa.

Attenzione: dalla segnalazione di un utente anonimo di Twitter (che ringrazio), sembrerebbe che la banca dati sia in realtà piena di informazioni tra cui numeri di telefono, coordinate bancarie e probabilmente anche scansioni di documenti.  A questo utente sento di dire GRAZIE!  La sua collaborazione ha permesso la rettifica dell’articolo da me scritto ma, soprattutto, il ridimensionamento della riservatezza dei dati contenuti in banca dati.

Update del 4 novembre 2018

Vengono confermate da Twitter le debolezze del sistema DRUPAL adottato dalla SIAE. Valerio Mulas scrive: 

Il core di drupal era alla versione 7.43. Questa versione e’ stata rilascia il 24 Febbraio 2016. Quindi drupal non veniva aggiornato da quasi 3 anni.

La gravità di un mancato aggiornamento per oltre 3 anni si commenta da sola e credo che la SIAE, che ha affidato la gestione del portale a terzi, dovrebbe prendere provvedimenti.

Update del 7 novembre 2018

Valerio Mulas mi ha contattato questa sera per darmi un aggiornamento importante che potete leggere nel tweet sottostante.

Il tweet parla chiaro: 

Per i 3 giorni successivi all’ownage, a partire dalla giornata del 3 Novembre fino a quella del 5 inclusa, il portale di SIAE continuava a mostrare la versione obsoleta di Drupal, datata Marzo 2016.

È una cosa grave? Abbastanza considerando che il portale della SIAE non si limita a fornire informazioni, ma consente la registrazione, il login e la gestione dei dati degli utenti. Di conseguenza è come se per tre giorni avessero portato avanti una versione fallata del portale. Parliamo della SIAE e non di una piccola azienda o del sito di un privato, onestamente si potrebbe fare meglio no?

Maggiori informazioni

Valerio Mulas ha scritto un articolo proprio nelle ore in cui facevamo tutti delle riflessioni. Il link è questo e merita lettura.