Data Breach: 650 MB

Oggi (10 dicembre 2019) alle ore 13:57 il collettivo LulzSec_ITA ha pubblicato i risultati di un data breach con defacing ai danni dell’azienda 650mb.com. Vediamo di cosa si è trattato.

Come prassi il comunicato è stato pubblicato su Twitter nel quale, oltre alla notizia sono state aggiunte anche diverse immagini. Il contenuto del DUMP includeva due tipologie di informazioni:

  1. File CSV contenenti l’estratto di tabelle di varia natura
  2. Archivio di file ZIP contenenti documenti d’identità, certificati, comunicazioni di vario genere

In merito ai file CSV

I file contenuti all’interno erano i seguenti:

admin.csv
admin_notifica.csv
enti.csv
lavoratori.csv
lavoratori_sms.csv
notifiche_notifica.csv
utenti_notifica.csv
utenti_scuba.csv
utenti_uni.csv

I file contenevano informazioni di varia natura: dati anagrafici ma anche credenziali. Tra questi spiccano anche i dati di soggetti appartenenti a strutture istituzionali ed in particolare dell’Ispettorato del Lavoro.

File ZIP

In merito al file ZIP, la situazione prende una notevole rilevanza: all’interno dell’archivio erano presenti 434 file di cui una buona parte era composta da documenti d’identità scannerizzati ma c’erano anche planimetrie, certificati di autorizzazione alla trasmissione della notifica preliminare, documenti dell’Agenzia delle Entrate e così via.

Questi documenti possono rappresentare un serio rischio di sicurezza se utilizzati in modo improprio, permettono ad un malintenzionato di entrare a conoscenza di informazioni rilevanti e usarle per scopi illegali ai danni del titolare.

DeFacing

Appena data la notizia dell’attacco, consultando il sito della società, è stato possibile avere anche riscontro di un piccolo defacing identificabile nella sezione “Portfolio” del sito, come se gli hacker si fossero voluti aggiungere come clienti.

Scattando a distanza di poco tempo un secondo screenshot (alle 14.16) ci si rende conto che la pagina “Portfolio” è stata modificata dagli stessi hacker aggiungendo un secondo quadrante con didascalia s0ff0c0 che, secondo quanto comunicato, sarebbe dovuta essere una password di amministrazione. Alle 14.40 il quadrante aggiunto sparisce e la sezione Portfolio ritorna ad essere come segue.