Collection #1-5 e il data breach di oltre 1TB di username e password.

Postato il by dariobuon

Cercherò di aggiornare questo articolo in maniera costante , man mano che l’analisi dei file andrà avanti.

Durante le giornate del 17/01 e del 18/01 , sul web è cominciata a trapelare la notizia di uno dei più mastodontici data breach della storia.

Si parla infatti di una “raccolta” di oltre 773 Millioni di record (contenenti username e password).

I primi a diffondere la notizia , sono stati Troy Hunt (per chi non lo conoscesse tra le tante attività svolte è il creatore del sito HIBP ) e l’ Independent Security Researcher Odisseus

Articolo Troy Hunt :

https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/

Tweet Odisseus :

odisseus tweet

Una volta appresa la notizia, ho cominciato a navigare in cerca di informazioni

e da una delle tanti fonti del web underground , ho trovato questo “bel” topic :

topic ebbene in questo topic si ha la possibilità di trovare :

email rubate

Questo è il contenuto del pacchetto Collection #1 :

collection 1 screen

mentre questo delle altre collection #2 – #5 + Antiplubli e zabagur :

 

come si può notare dai nomi dei file contenuti , molti sono inerenti a data breach di anni passati e/o mesi fa.

#Aggiornamento ore 00:29 del 20/01/2019

Aspettando che il tool finisca di analizzare i file .txt , mi sono messo un pò a cercare a ritroso notizie su questo data breach , ebbene sempre su Twitter l’utente V aveva segnalato la vendita di questi dati :

v

seguendo uno dei link presenti sul pastebin segnalato da V

paste

si arriva direttamente al Topic incriminato, da dove si evince che un utente di nome Sanix propone la vendita di questi dati , con addirittura uno sconto del 10%.

sanix

La cosa che mi salta all’occhio è la data di questi post, che sembra risalire addirittuara al 2 Dicembre 2018.

Sembrerebbe però che l’utente Sanix fosse stato un utente scam ,  e che abbia truffato un pò di persone, di fatti al momento risulta bannato.

sanix2

Aggiornamento 21/01/2019

L’analisi dei primi dati relativi alla collection 1 , sta cominciando dare i primi risultati :

analis1

purtroppo come volevasi dimostrare , la password più gettonata  risulta essere “123456

#Aggiornamento del 22/01/2019 

Continuando ad analizzare i dati contenuti nella Collection 1 sono riuscito a individuare alcuni portali che sono stati colpiti da questo data breach.

In totale i nomi trovati sono 453 di cui 55 con dominio .it

dxi3wwmwkae1mv9

#Aggiornamento del 24/01/2019

Da un’ulteriore analisi su alcuni file della Collection 1 , si può notare come su alcuni portali esterni che sono stati oggetto di Data Breach , erano presenti account mail con domini istituzionali (e in alcuni casi lo stesso account su più portali con la stessa password)

difesa

#Aggiornamento del 26/01/2019

Continua l’analisi dei dati contenuti nella Collection 1 , di seguito i risultati che sto trovando focalizzandomi sui domini gov.it / difesa.it 

Analisi GOV.IT

Gov it.PNG

Di 2594 mail gov.it , ben 737 risultano appartenete al mit ( Ministerod elle Infrastrutture e dei Trasporti) .

Analisi DIFESA.IT

difesa it

Di 3251 mail con dominio difesa.it,  si può notare come quelle legate all’esercito siano state le più contenute nella Collection.

#Aggiornamento del 28/01/2019

Il mio script chiamato il “cercatore”, ha finalmente finito di analizzare anche le Collection 2-5

Scritp cercatore.sh

#!/bin/bash
grep -E -r “\b[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.difesa+.it\b” * > difesa.txt
echo “Difesa Fatto”
grep -E -r “\b[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.gov+.it\b” * > gov.it.txt
echo “gov Fatto”
grep -E -r “\b[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.pec+.it\b” * > pec.txt
echo “pec Fatto”
grep -E -r “\b[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.poliziadistato+.com\b” * > poliziadistato.it.txt
echo “Polizia Fatto”

e di seguito i risultati.

Analisi DIFESA.IT [Collection 2-5] :

Come si può notare , anche in questo caso abbiamo ben 4017 account mail afferenti al dominio difesa.it.

Di questi 4017, come nella Collection 1, i più ricorrenti sono quelli associati al personale dell’esercito (ben 2627).

difesa collect 2

Analisi GOV.IT [Collection 2-5] :

Questa volta ci troviamo difronte a ben 21.870 account che contegono nel dominio gov.it.

Gov it.PNG

Ma la cosa più interesante è stato trovare degli account mail che come dominio contenessero alfa.gov.it , e come nome utente abonamenti.osint.s e osintaisi.

Nomi e domini alquanto strani, dato che OSINT è l’acronimo di Open Source INTelligence, ed associato ad un dominito istituzionale “suona” un pò sospetto.

Ancor di più se inserendo il dominio su google , il primo risultato disponibile sia un portale web targato IBM.

ricerca alfa gov

Il quale una volta interrogato ci riporta ad una pagina di login in https:

login alfa

Analizzando il certificato https, possiamo notare che è associato alla Presidenza del Consiglio dei Ministri.

alfa gov it

A cosa potrà mai servire questo portale ?

Mi permetto di segnalare  questo articolo datato 29/02/2012 di glamis dove viene affrontata la stessa analisi.

A voi i commenti.

L’analisi continua appena avrò altre informazioni aggiornerò l’articolo 🙂

Pubblicato da dariobuon

Rispondi

Effettua il login con uno di questi metodi per inviare il tuo commento:

Gravatar
Logo di WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Annulla

Connessione a %s...

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.