Περίπου 3.000 δεδομένα εργαζομένων της UniCredit διατίθενται προς πώληση μετά από επίθεση με εισβολή
Στις 19 Απριλίου, ένας χρήστης του φόρουμ πειρατείας που κρύβεται πίσω από το c0C0linoz moniker πρόσφερε προς πώληση προσωπικές και σχετικές με την εργασία πληροφορίες των υπαλλήλων της UniCredit. Η UniCredit είναι η μεγαλύτερη τράπεζα στην Ιταλία και είναι ένα από τα μεγαλύτερα χρηματοπιστωτικά ιδρύματα στην Ευρώπη. Έχει περίπου 100 χιλιάδες υπαλλήλους καθώς και θυγατρικές σε πολλές χώρες. Πολλοί άνθρωποι ενδιαφερόταν για αυτό που διατέθηκε προς πώληση ακριβώς, και ερευνητές από τη Cyble καθώς και οι υπάλληλοι μιας μονάδας Telecom Italia που ονομάζεται Telsy αποφάσισαν να ρίξουν μια ματιά.
Table of Contents
Τι κλέφτηκε;
Σύμφωνα με την ανάρτηση του c0c0linoz, οι νέοι εγκληματίες στον κυβερνοχώρο με κάποια μετρητά στις τσέπες τους θα μπορούσαν να αγοράσουν τα ονόματα των υπαλλήλων της UniCredit, τις διευθύνσεις email, τους αριθμούς τηλεφώνου και τους κρυπτογραφημένους κωδικούς πρόσβασης. Όχι πολλά ήταν διαθέσιμα από την άποψη των τεχνικών πληροφοριών, αλλά ο πωλητής επεσήμανε ότι τα δεδομένα χρονολογούνται από τα "τέλη 2018-2019" και αφού έλεγξαν τα δείγματα αρχείων c0c0linoz που δημοσιεύτηκαν στο φόρουμ εισβολής, οι ερευνητές του Telsy κατέληξαν στο συμπέρασμα ότι οι πληροφορίες είναι αυθεντικός.
Από πού κλέφτηκε;
Προφανώς, μια παραβίαση σε ένα τόσο μεγάλο χρηματοπιστωτικό ίδρυμα θα μπορούσε να έχει τεράστιες συνέπειες όχι μόνο για τους υπαλλήλους, αλλά και για τους πελάτες. Αφού άκουσε την ιστορία, το Bloomberg ήρθε σε επαφή με την τράπεζα και του είπαν ότι τα συστήματα της UniCredit δεν έχουν παραβιαστεί. Αντίθετα, η επίθεση στοχεύει σε μια πλατφόρμα πρόσληψης ανθρώπινου δυναμικού που αναπτύχθηκε και διαχειρίστηκε μια ρουμανική εταιρεία.
Η έρευνα του Telsy εντόπισε αρκετούς λογαριασμούς σε άλλα φόρουμ ηλεκτρονικής εισβολής, οι οποίοι πιθανώς συνδέονται με το c0c0linoz και οι ερευνητές είδαν τα δεδομένα να διαφημίζονται πολλές φορές. Ορισμένες από τις διαφημίσεις ανέφεραν ότι τα δεδομένα προέρχονται από τη Ρουμανία, αλλά παραμένει ασαφές εάν οι επηρεαζόμενοι υπάλληλοι βρίσκονται μόνο στη χώρα της Ανατολικής Ευρώπης ή αν εξαπλώνονται σε όλη την ήπειρο.
Πόσο κοστίζουν τα δεδομένα;
Τα στοιχεία δείχνουν ότι η πλατφόρμα HR τρίτων παραβιάστηκε μέσω έγχυσης SQL. Οι ενέσεις SQL βρίσκονται στο χαμηλότερο άκρο του φάσματος όσον αφορά την πολυπλοκότητα. Είναι πολύ μακριά από την πιο δύσκολη επίθεση, αλλά το γεγονός παραμένει ότι όποιος το έκανε θέλει μια όμορφη δεκάρα.
Ο αριθμός των επηρεαζόμενων υπαλλήλων ανέρχεται σε περίπου 3 χιλιάδες και οι εγκληματίες στον κυβερνοχώρο που θέλουν μια λίστα με τα ονόματά τους μπορούν να το έχουν για 1 χιλιάδες δολάρια. Όσοι επιθυμούν να έχουν την πλήρη βάση δεδομένων μαζί με όλες τις λεπτομέρειες, ωστόσο, πρέπει να πληρώσουν 10 χιλιάδες δολάρια.
Ο αλγόριθμος κρυπτογράφησης που χρησιμοποιείται για την ανακατάταξη των κωδικών πρόσβασης των επηρεαζόμενων εργαζομένων είναι άγνωστος, πράγμα που σημαίνει ότι είναι δύσκολο να πούμε πόσος κίνδυνος δημιουργούν τα δεδομένα. Εκτός αν η ανάκτηση των διαπιστευτηρίων απλού κειμένου είναι ασήμαντη, ωστόσο, τα ποσά που δημοσιεύονται στη διαφήμιση ενδέχεται να κοστίσουν c0c0linoz εκτός αγοράς. Ας ελπίσουμε ότι αυτό ακριβώς θα συμβεί, αλλά η UniCredit θα πρέπει να είναι έτοιμη να μετριάσει τον κίνδυνο σε περίπτωση που δεν συμβαίνει αυτό.
