Scoperto database con 184 milioni di voci: a rischio account Apple, Google e portali governativi di 29 paesi

Un ricercatore di sicurezza informatica ha scoperto un database esposto contenente 184 milioni di voci che costituiscono credenziali di accesso per servizi come Apple, Google, Facebook e portali governativi di almeno 29 paesi, rappresentando quello che gli esperti di sicurezza informatica definiscono "la lista di lavoro ideale per un cybercriminale".

Jeremiah Fowler, ricercatore di sicurezza di lungo corso, ha individuato all'inizio di maggio un database Elasticsearch non protetto contenente 184.162.718 record unici per un totale di oltre 47 GB di dati grezzi. Il database, completamente accessibile pubblicamente senza password o crittografia, rappresenta una delle scoperte più pericolose degli ultimi anni nel campo della sicurezza informatica.

Non è dato sapere, al momento (ma forse definitivamente) chi possa essere il proprietario del database. Fowler ha dichiarato che questo caso è "probabilmente uno dei più strani che abbia mai trovato in molti anni". Il database non conteneva alcun indicatore sull'organizzazione proprietaria, sui dati relativi ai clienti o dipendenti, né altri suggerimenti che potessero chiarire il motivo della raccolta dati e la loro origine.

Ogni voce del database conteneva un identificativo per il tipo di account, un URL per il rispettivo sito web o servizio, insieme a nomi utente e password in testo semplice. L'unico dettaglio significativo - che tuttavia potrebbe anche essere un elemento diversivo - è che il campo password è risultato essere etichettato come "Senha", ovvero la parola portoghese che indica, appunto, "password".

Il ricercatore ha condotto un'analisi a campione di una porzione del contenuto del database raccogliendo la presenza di centinaia di account Facebook, Google, Instagram, Roblox, Discord, Microsoft, Netflix e PayPal e credenziali di accesso ad un numero imprecisato di account Amazon, Apple, Nintendo, Snapchat, Spotify, Twitter, WordPress e Yahoo.

Ci sono anche informazioni riferite alla finanza e al mondo governativo, con la presenza nel campione di diverse istanze delle parole "bank" e "wallet", oltre alle credenziali di conti bancari, piattaforme sanitarie e portali governativi. E ancora, centinaia di indirizzi email con domini .gov legati ad almeno 29 diversi paesi.

Fowler afferma di aver contattato alcuni indirizzi email di quelli trovati nel database, allo scopo di verificare l'autenticità e la validità di quanto scoperto. Il ricercatore ha ricevuto risposta, ricevendo la conferma che si trattasse di account reali, ritenendo di conseguenza che la maggior parte delle informazioni e delle credenziali presenti abbia effettiva validità.

Il ricercatore, sulla base di acluni elementi presenti nel database, sostiene che molti dei dati siano stati recuperati tramite malware infostealer, che hanno il preciso scopo di raccogliere ogni genere di informazione sensibile dai computer su cui vengono installati, mettendo nel mirino le credenziali di accesso salvate nei browser, le informazioni all'interno dei client email e delle applicazioni di messaggistica.

Fowler ha immediatamente segnalato la scoperta a World Host Group, il provider di hosting associato al database, che ha provveduto in maniera tempestiva a disabilitarne l'accesso. Nonostante il database sia stato messo in sicurezza e successivamente rimosso completamente, non è chiaramente possibile sapere se qualcun altro oltre al ricercatore possa aver avuto accesso alle informazioni quando queste erano ancora liberamente accessibili su Internet. Non sapendo nemmeno da quanto tempo il database si trovasse lì, è comunque elevata la probabilità che qualcuno possa esservi incappato, anche solo casualmente, e che le informazioni contenute siano state rubate, utilizzate impropriamente o pronte per essere vendute al miglior offerente.

Nel caso specifico c'è un rischio reale che le credenziali possano essere sfruttate per frodi, per ulteriore furto di informazioni o persino per portare avanti altri atti di compromissione. La natura completa e dettagliata delle informazioni esposte rende questo incidente particolarmente pericoloso per la sicurezza informatica globale.

Episodi come questo ci ricordano per quale motivo le buone pratiche di sicurezza, pur se faticose e talvolta un po' scomode, consentano di proteggere al meglio i nostri asset di valore: usiamo volutamente queste parole generiche poiché ciascuno sa, o dovrebbe sapere, quale sia il proprio profilo di rischio e ciò che desidera proteggere da accessi non autorizzati.

Avrete letto molte volte questi suggerimenti, ma vale sempre la pena rammentarli: cambiare le password periodicamente, utilizzare password univoche e difficili da indovinare per ciascun account, abilitare i sistemi di autenticazione a due fattori, controllare periodicamente se le nostre credenziali sono state esposte, monitorare regolarmente lo storico degli accessi agli account, considerare l'uso di password manager affidabili e utilizzare soluzioni di endpoint security che possano mettere al riparo il nostro sistema da malware di ogni genere.

Infine, ricordando l'importanza di mantenersi aggiornati e conoscere la tipologia di minacce esistenti, aiuta a ridurre le possibili superfici d'attacco, come riassumiamo con il mantra che ripetiamo sempre: un utente consapevole è un utente meno vulnerabile.