Cerca de 3.000 datos de trabajadores de UniCredit se ponen a la venta después de un ataque de piratería
El 19 de abril, un usuario del foro de piratería que se escondía detrás del apodo c0C0linoz ofreció a la venta información personal y relacionada con el trabajo de los empleados de UniCredit. UniCredit es el banco más grande de Italia, y es una de las instituciones financieras más grandes de Europa. Tiene cerca de 100 mil empleados, así como filiales en varios países. Muchas personas estaban interesadas en lo que se puso exactamente a la venta, y los investigadores de Cyble, así como los empleados de una unidad de Telecom Italia llamada Telsy, decidieron echar un vistazo.
Table of Contents
¿Qué fue robado?
Según la publicación de c0c0linoz, los cibercriminales en ciernes con algo de efectivo en sus bolsillos podrían comprar los nombres, direcciones de correo electrónico, números de teléfono y contraseñas cifradas de los empleados de UniCredit. No había mucha información disponible en términos de información técnica, pero el vendedor señaló que los datos se remontaban a "fines de 2018-2019", y después de verificar los registros de muestra publicados por c0c0linoz en el foro de piratería, los investigadores de Telsy concluyeron que la información es auténtico.
¿De dónde fue robado?
Obviamente, una violación en una institución financiera tan masiva podría tener enormes consecuencias no solo para los empleados, sino también para los clientes. Después de enterarse de la historia, Bloomberg contactó al banco y le dijeron que no se habían violado los sistemas de UniCredit. En cambio, el ataque estaba dirigido a una plataforma de reclutamiento de recursos humanos desarrollada y administrada por una empresa rumana.
La investigación de Telsy identificó varias cuentas en otros foros de piratería, que probablemente estén conectados a c0c0linoz, y los investigadores vieron que los datos se anunciaban varias veces. Algunos de los anuncios mencionaron que los datos provienen de Rumania, pero no está claro si los empleados afectados se encuentran solo en el país de Europa del Este o si están diseminados por todo el continente.
¿Cuánto cuestan los datos?
La evidencia sugiere que la plataforma de recursos humanos de terceros fue pirateada a través de una inyección SQL. Las inyecciones SQL están en el extremo inferior del espectro cuando se trata de sofisticación. Está lejos de ser el ataque más difícil de lograr, pero el hecho es que quien lo hizo quiere un centavo.
El número de empleados afectados es de alrededor de 3 mil, y los ciberdelincuentes que desean una lista de sus nombres pueden obtenerla por $ 1 mil. Sin embargo, aquellos que desean tener la base de datos completa junto con todos los detalles, deben pagar $ 10 mil.
Se desconoce el algoritmo de encriptación utilizado para codificar las contraseñas de los trabajadores afectados, lo que significa que es difícil decir qué riesgo representan los datos. Sin embargo, a menos que la recuperación de las credenciales de texto sin formato sea trivial, las sumas publicadas en el anuncio podrían sacar a c0c0linoz del mercado. Con suerte, esto es exactamente lo que va a suceder, pero UniCredit debería estar preparado para mitigar el riesgo en caso de que no sea así.
