Link alla notizia: https://edge9.hwupgrade.it/news/security/il-caso-dell-hacker-che-viola-i-database-e-minaccia-di-denunciare-i-proprietari-per-violazione-del-gdpr_90548.html

Un hacker sta sistematicamente violando migliaia di istanze di MongoDB, cancellandone i dati locali e lasciando una nota peculiare: "se non pagate il riscatto, vi denuncio alle autorità per violazione del GDPR"

Click sul link per visualizzare la notizia.

ma di solito non si ricatta la gente con le foto porno?

quindi se ho capito bene, se non gli dai 120 euro, questo va dalle autorità a fare denuncia lasciando tutti i suoi dati, perchè non credo che in questi casi le denunce anonime servano a qualcosa, o sbaglio qualcosa ?
Se così fosse è proprio un genio del male.

Chi lo ha fatto è un genio del male!! :sbonk: :sbonk:

0.015BTC mi sembrano veramente pochi. Sarà sicuramente un ragazzino :)

Contando che le multe legate alla violazione del GDPR arrivano fino al 4% del fatturato globale con cap a 20M€, il riscatto potrebbe renderlo dinamico e basato sul fatturato dell'azienda attaccata. Potrebbe chiedere "solo" 1% del fatturato invece di 120 miseri euro :D

ma di solito non si ricatta la gente con le foto porno?

Avrei chiesto MOLTO di più, questi errori grossolani andrebbero fatti pagare cari!
Il fatto di mettere un firewall è utile fino ad un certo punto (i firewall si bypassano) ma il non mettere la password è un errore madornale!!!

ma di solito non si ricatta la gente con le foto porno?

A me, nella mail aziendale arrivano anche "Avviso chiusura account per violazione dei termini" (più o meno) che se non clicco sul link verrà disattivata la mailbox "io@miaazienda.com". A parte il fatto che se mi disattivassero la mail aziendale ne sarei solo che contento, la cosa buffa è che il server di posta è interno all'azienda e gli account sono gestiti dall'IT manager

Pare che qualcuno abbia pagato :asd:

https://bitref.com/13JwJDaU3xdNFfcSySFCy95E2Tko18fiyB

Si ma come fa a denunciare senza esporsi, di becca l azienda giusta di brutta gente gli fanno il pelo e contropelo.
Basta denunciarlo in primis e una denuncia su una denuncia per ricatto e estorsione non vale nulla.

A me, nella mail aziendale arrivano anche "Avviso chiusura account per violazione dei termini" (più o meno) che se non clicco sul link verrà disattivata la mailbox "io@miaazienda.com". A parte il fatto che se mi disattivassero la mail aziendale ne sarei solo che contento, la cosa buffa è che il server di posta è interno all'azienda e gli account sono gestiti dall'IT manager

Concordo! Le mail di phishing sono sempre uno spasso! Penso siano le uniche mail che leggo veramente fino in fondo con interesse :asd:

Chi lo ha fatto è un genio del male!! :sbonk: :sbonk:

0.015BTC mi sembrano veramente pochi. Sarà sicuramente un ragazzino :)
Contando che le multe legate alla violazione del GDPR arrivano fino al 4% del fatturato globale con cap a 20M€, il riscatto potrebbe renderlo dinamico e basato sul fatturato dell'azienda attaccata. Potrebbe chiedere "solo" 1% del fatturato invece di 120 miseri euro :D

Se consideri che sono stati compromessi oltre 22000 installazioni, se solo l'1% paga la somma non è così banale. E poi è più facile che qualcuno paghi 120 euro che p.es. 1200; gli costerebbe meno che tenere ferma l'azienda in attesa del ripristino dei backup

Se consideri che sono stati compromessi oltre 22000 installazioni, se solo l'1% paga la somma non è così banale. E poi è più facile che qualcuno paghi 120 euro che p.es. 1200; gli costerebbe meno che tenere ferma l'azienda in attesa del ripristino dei backup

120€ o 1200€ non sono nulla se parliamo di DB di produzione :)

Il rischio di finire dentro per estorsione, accesso abusivo a sistema informativo & Co non vale certo 120€...

120 euro? Pagare subito e ringraziare del servizio, che sono matti..

120€ o 1200€ non sono nulla se parliamo di DB di produzione :)

Il rischio di finire dentro per estorsione, accesso abusivo a sistema informativo & Co non vale certo 120€...

C'è da dire che 120 euro potrebbe anche pagarli il sistemista di tasca sua senza dire niente a nessuno, per coprire la scarsa competenza nel gestire i db nei confronti del datore di lavoro. 1200 euro è già più difficile

120 euro? Pagare subito e ringraziare del servizio, che sono matti..

Appunto, un servizio di vulnerability assessment costa molto di più :)

C'è da dire che 120 euro potrebbe anche pagarli il sistemista di tasca sua senza dire niente a nessuno, per coprire la scarsa competenza nel gestire i db nei confronti del datore di lavoro. 1200 euro è già più difficile

Un errore cosi sciocco dovrebbe essere fatto pagare molto più di 1200€...

C'è da dire che 120 euro potrebbe anche pagarli il sistemista di tasca sua senza dire niente a nessuno, per coprire la scarsa competenza nel gestire i db nei confronti del datore di lavoro. 1200 euro è già più difficile

E ci credo!

Vaglielo tu a spiegare che ti sei dimenticato di metterci una password :asd:

Un errore cosi sciocco dovrebbe essere fatto pagare molto più di 1200€...
Vero, ma mettiti nei panni del ricattatore: meglio ricevere 120 euro 100 volte o 1200 euro 2 volte (se va bene)?

Classica situazione Lose-Lose, questo si becca una denuncia per estorsione e violazione di sistema informatico per ripicca a un'azienda che gestisce l'IT col sedere.

Non ci credo manco se vedo il LoHacker che entra negli uffici della Polizia Postale con il passamontagna e un sacchetto di iuta con il simbolo del $.

Vero, ma mettiti nei panni del ricattatore: meglio ricevere 120 euro 100 volte o 1200 euro 2 volte (se va bene)?

Sinceramente parlando, ti rispondo da 2 punti di vista:

in quanto Ethical Hacker posso dirti che il prezzo è fin troppo basso ed errori del genere andrebbero fatti pagare molto di più;

dal punto di vista black hat (che non sono perché servono dei cabasisi grossi e rotanti) visto l'alto numero di attacchi portati a termine si, 0.015BTC ci stanno forse anche 0.020 non di più, se un migliaio paga sono cmq 120.000€

Classica situazione Lose-Lose, questo si becca una denuncia per estorsione e violazione di sistema informatico per ripicca a un'azienda che gestisce l'IT col sedere.

Non ci credo manco se vedo il LoHacker che entra negli uffici della Polizia Postale con il passamontagna e un sacchetto di iuta con il simbolo del $.

:D :D :D

C'è da dire che 120 euro potrebbe anche pagarli il sistemista di tasca sua senza dire niente a nessuno, per coprire la scarsa competenza nel gestire i db nei confronti del datore di lavoro. 1200 euro è già più difficile

magari il sistemista viene pagato 1.000 euro al mese allora.. chi la fa l'aspetti

Classica situazione Lose-Lose, questo si becca una denuncia per estorsione e violazione di sistema informatico per ripicca a un'azienda che gestisce l'IT col sedere.

Non ci credo manco se vedo il LoHacker che entra negli uffici della Polizia Postale con il passamontagna e un sacchetto di iuta con il simbolo del $.

Cosa non credi scusa?

Secondo me invece è fatta benissimo.

La cifra è irrisoria ed assicura l'entrata per togliersi il problema davanti al più presto possibile.

Moltiplicala per tutti quelli che pagheranno... ed ecco che ha avuto una trovata parecchio remunerativa.

Per non parlare del servizio reso a modico prezzo :asd:

Cosa non credi scusa?


Mi sembrava evidente, il fulcro della "notizia" mica è cos aha fatto l'hacker, ma cosa avrebbe fatto in seguito:

questo si becca una denuncia per estorsione e violazione di sistema informatico per ripicca a un'azienda che gestisce l'IT col sedere.

Ma secondo me la minaccia di denuncia è farlocca.
Nel senso che non la farà mai ovviamente, è solo per spingere il pollo a pagare.

La minaccia mi sembra stupida. Proprio per il GDPR se il gestore dei dati viene a conoscenza di una violazione, dev'essere lui a denunciarla entro qualche giorno. Se non lo fa e cerca di tenere tutto nascosto pagando 120€, rischia parecchio (penale e multe nell'ordine delle decine di migliaia di euro).

Mi sembra un'estorsione pensata un po' a ca@@o.

EDIT: aggiungo un altro motivo per cui pagare è stupido. Alla luce di quanto detto prima, il suddetto LoHacker potrebbe benissimo tornare alla carica e dirti che ti denuncia sia per il data breach che per la mancata autodenuncia al Garante. Chiedendoti ben più di 120€.

By(t)e

Tralasciando l'illiceità dell'operazione, sarebbe stato forse meglio chiedere il riscatto in Monero, i BTC credo siano facilmente tracciabili nel momento in cui vengono spostati o spesi, non è così?

Tralasciando l'illiceità dell'operazione, sarebbe stato forse meglio chiedere il riscatto in Monero, i BTC credo siano facilmente tracciabili nel momento in cui vengono spostati o spesi, non è così?

I BTC sono conosciuti da tutti. Una volta che ha i BTC, può benissimo venderli lui per monero e poi incassare $.

I BTC sono conosciuti da tutti. Una volta che ha i BTC, può benissimo venderli lui per monero e poi incassare $.

Per levarsi ogni dubbio può chiedere in Caserma, intanto che fa denuncia, come conviene farsi pagare per non essere rintracciabile. :O

I BTC sono conosciuti da tutti. Una volta che ha i BTC, può benissimo venderli lui per monero e poi incassare $.

Hmmm... Usando Bisq in effetti si potrebbe convertire in Monero senza lasciare traccia. Non voglio aizzare nessuno alla truffa :D , mi interessa però l'aspetto tecnico del pagamento totalmente anonimo e non rintracciabile dalle FdO.

Per levarsi ogni dubbio può chiedere in Caserma, intanto che fa denuncia, come conviene farsi pagare per non essere rintracciabile. :O

Una cosa è certa, sicuramente li dichiarerà nella dichiarazione dei redditi come introito da attività professionale :asd:

Io non ho ben capito la natura precisa dell'attacco, sono stati sottratti dei dati e backup o non backup , denuncia o non denuncia, pagano o non pagano, secondo me l'azienda è nella melma..

120E x 22900 Db coinvolti..
per uno script automatizzato...
ove la denuncia funge da incentivo, e la cifra bassa invoglia al pagamento (date le cifre che potrebbero vedersi in multa...)
chiederei a questo hacker di fare una roba simile coi database clienti degli isp...
sai quante multe fioccherebbero per uso illecito di dati personali per marketing 😁