350 milioni di email sono state trovate in un secchio che potrebbe essere stato esposto dal 2018

Quando inserisci il tuo indirizzo email in un modulo di registrazione, sei davvero sicuro di dove andrà a finire? La risposta è "no, non lo sei". Potresti pensare che solo il fornitore di servizi con cui stai creando un account lo vedrà, ma la verità è che, spesso, non è così.

Oltre al fatto che alcuni gestori di siti web condividono i tuoi dati con terze parti (con o senza il tuo consenso), anche i tuoi dati personali potrebbero essere rubati. Quando gli hacker li prendono, possono usarli per le proprie campagne dannose o possono venderli ad altri criminali informatici. Possono anche metterli in un bucket Amazon S3 mal configurato e dimenticarli per 18 mesi.

I ricercatori trovano un tesoro dimenticato di indirizzi e-mail in un bucket S3 esposto

All'inizio di giugno, un team di ricercatori di CyberNews si è imbattuto nel prossimo in una lunghissima linea di bucket AWS S3 non protetti che contengono le informazioni personali di milioni di utenti ignari.

La loro indagine non è riuscita a determinare il proprietario del bucket, motivo per cui hanno informato direttamente Amazon e il 10 giugno i dati sono stati trasferiti offline. A quel punto, tuttavia, era stato esposto per almeno 18 mesi. Durante quel periodo, chiunque sapesse dove guardare avrebbe potuto accedere ai dati al suo interno. Ma cosa ha esposto esattamente il secchio che perdeva?

La buona notizia è che i ricercatori non hanno trovato password, dettagli della carta di credito, numeri di previdenza sociale o altre informazioni che potrebbero portare direttamente al furto di identità. Invece, il bucket conteneva un totale di 350 milioni di indirizzi e-mail univoci che, secondo CyberNews, sono stati rubati nel 2018.

Sebbene questa sia lontana dalla più grande fuga di dati che abbiamo mai visto, il numero è decisamente significativo. Gli utenti interessati corrono un rischio molto reale di ricevere una raffica di e-mail di spam e, se gli aggressori sono sufficientemente motivati, le vittime potrebbero essere prese di mira anche da campagne più sinistre. CyberNews mettere insieme un HaveIBeenPwned-come correttore che può dire se il tuo indirizzo e-mail è stato esposto nel secchio.

I dati hanno fatto un bel viaggio

Non è piacevole esporre il proprio indirizzo di posta elettronica senza il proprio consenso, ma va detto che la mancanza di informazioni particolarmente sensibili ha minimizzato i potenziali danni che la fuga di notizie potrebbe causare. In effetti, ciò che è più preoccupante è il numero di domande senza risposta sull'origine dei dati.

C'erano un totale di 67 file nel bucket S3, ma i dati di posta elettronica esposti erano in 21 di essi. Sette fogli di calcolo CSV contenevano gli indirizzi in formato hash. Altri sette CSV contenevano gli stessi dati, solo sottoposti a hash e salati con il debole algoritmo MD5. Gli ultimi sette fogli di calcolo contenevano i 350 milioni di indirizzi e-mail in testo normale.

I timestamp dei file suggeriscono che inizialmente i dati sono stati sottoposti ad hashing con un algoritmo che CyberNews non ha nominato. I criminali informatici apparentemente l'hanno rotto e hanno scoperto che chiunque avesse raccolto i dati aveva messo una protezione aggiuntiva con MD5. Dopo averlo superato, gli hacker si sono ritrovati con i dati in chiaro.

Naturalmente, l'origine delle e-mail rimane sconosciuta, il che significa che tutto questo è più o meno speculazione. Oltre alle e-mail, il secchio che perde conteneva anche registrazioni vocali di proposte di vendita riguardanti un'azienda ormai defunta chiamata RepWatch. RepWatch ha lasciato quasi nessuna traccia online, ma a quanto pare, era un servizio di monitoraggio della reputazione che ha aiutato i professionisti del marketing online a raggiungere i loro obiettivi più facilmente. Ha smesso di funzionare molto prima che i file CSV arrivassero al bucket Amazon esposto, quindi è davvero difficile dire se c'è una connessione.

Allo stato attuale, ci sono più domande che risposte. Per quanto ne sappiamo, l'organizzazione che originariamente aveva raccolto gli indirizzi e-mail potrebbe non essere nemmeno a conoscenza del furto. L'unico lato positivo per gli utenti interessati è che nessun altro dato sembra essere stato esposto da questo particolare secchio. Tuttavia, le vittime dovrebbero tenere gli occhi aperti per eventuali potenziali truffe.