Ministero della Salute hacked? Questa la notizia , da qualche giorno rimbalza, su vari siti di settore (e non solo). Ma l’origine dei dati rubati è diversa
Iniziamo dai fatti: pubblicati 37 GB di dati di 3 milioni di cittadini italiani
I fatti: il 13 Aprile 2023 sul canale Telegram del noto gruppo specializzato in furto e rivendita dati Kelvin Security è comparso un annuncio di vendita di dati di cittadini italiani. Tra i primi a darne notizia gli esperti di H4ckmanac, in dettaglio Sofia Scozzari
#Italy🇮🇹: un database con dati appartenenti al Ministero della Salute https://t.co/h7j1IgToE8 in vendita su #Telegram
I sample vengono forniti a richiesta#darkwebmonitoring #databreach #dataleak #hackmanac #hotd pic.twitter.com/dtMqWRUv0F
— Sofia Scozzari (@SofiaSZM) April 13, 2023
Il database in questione, stando all’annuncio, ammonta a 37 GB e conterrebbe:
codice sorgente
i dati di 3 milioni di utenti
informazioni bancarie
documenti di varia natura
L’annuncio, pubblicato dall’utente Sk1pp3r, non specifica neppure il prezzo (fatto inconsueto), ma indica chiaramente che saranno accettati solo pagamenti in criptovalute. Qui si concludono le informazioni: Sk1pp3r ha dimostrato la volontà di fornire informazioni aggiuntive solo in trattative dirette. Così alcuni esperti hanno contattato Sk1pp3r e cercato di ottenere informazioni maggiori.
Quegli strani screen…
Mentre media di settore e non solo iniziavano con la sequela dei titoloni “Ministero della Salute hacked!” e simili, Sk1pp3r ha risposto ad alcuni esperti che si sono finti interessati alla vendita. L’occhio esperto ha subito notato qualcosa che non andava. A partire dai sample mostrati. Sono pochi e veramente “scarni”. Eppure ogni “buon venditore di dati” deve fornire sample validi ed efficaci, che dimostrino la veridicità dei dati e la fonte stessa. Invece Sk1pp3r non ha fatto altro che girare pochi sample, in messaggi a scomparsa: sample che, badate bene, non erano archivi, file excel o altro ma screenshot di video che mostrano archivi.
Dai sample si nota un dettaglio non secondario: nei sample ricorre spesso la parola “Alessandria”.
Uno degli screen dei video che mostrano i sample
Fonte: Sofia Scozzari – H4ckmanac
Infine Sk1pp3r “rivela” la fonte (secondo lui salute.gov.it) e il costo (500 dollari in Bitcoin).
Fonte (fake) e costo dell'archivio dei dati
Fonte: https://twitter.com/lmercatanti
Altro che Ministero della Salute: Sk1pp3r sta cercando di truffare i truffatori!
Si arriva dunque alla soluzione del mistero, mentre parte della stampa viene di nuovo impossessata dall’isteria, fatto che, nell’ultimo periodo, pare impedire ai più di provare a verificare fonti e notizie prima di diffondere allarmi falsi e fake news.
La testata insicurezzadigitale rintraccia e rileva l’origine dei dati. Che non sono, appunto, del Ministero della salute, non sono stati trafugati da Sk1pp3r e Sk1pp3r sta solo cercando di truffare altri cyber-furbetti rivendendo loro dati già gratuitamente disponibili nel web.
In dettaglio questi dati appartengono all’Azienda Ospedaliera di Alessandria, che ha subito una violazione dei dati alla fine del Dicembre dello scorso anno. L’attacco fu rivendicato dal gruppo ransomware ragnarLocker e fece un certo scalpore perchè gli attaccanti, tra le altre cose, hanno ripetutamente attaccato i sistemisti e l’azienda responsabile della sicurezza dei dati dell’ASL di Alessandria. Invitando addirittura a “sostituire l’intero personale IT”.
I 37 GB dell’archivio messo a disposizione da Sk1pp3r guarda caso coincidono con i 37 GB di dati trafugati e poi pubblicati dal gruppo ransomware RagnarLocker.
Fonte: RagnarLocker site leak
L’ansia di “bruciare i tempi” produce fake news
Forse nell’ansia di bruciare i tempi, essere citati, uscire per primi, molte sono state le redazioni (anche di un certo spessore, beninteso: fare i nomi non rientra nel nostro stile, ma una semplice ricerca su Google sarà più che esaustiva). Di fatto, parte della stampa ha pubblicato senza alcuna verifica la notizia di un attacco informatico contro il Ministero della Salute solo perché un utente anonimo su un canale Telegram ha “rivendicato” di averlo fatto.
Chissà se Sk1pp3r avrebbe mai immaginato di riuscire a truffare non solo alcuni “colleghi di rivendita dati”, ma anche la stampa e perfino alcune testate di settore.
Eppure il tema è molto serio, in termini di sicurezza nazionale, delle aziende e anche dei singoli cittadini. I dati di utenti italiani trafugati e in vendita sono sempre di più, crescono di giorno in giorno, così come di giorno in giorno aumentano gli attacchi ransomware e i data breach ( l’ultima notizia? Tre marche di Auto violate in un mese e dati degli italiani nelle underground. Sono solo coincidenze?)