Circa 3.000 dati dei lavoratori di UniCredit vengono messi in vendita dopo un attacco di pirateria informatica
Il 19 aprile, un utente del forum di hacking nascosto dietro il moniker c0C0linoz ha offerto in vendita informazioni personali e relative al lavoro dei dipendenti UniCredit. UniCredit è la più grande banca in Italia ed è una delle maggiori istituzioni finanziarie in Europa. Ha quasi 100 mila dipendenti e filiali in diversi paesi. Molte persone erano interessate a ciò che era stato messo in vendita esattamente e i ricercatori di Cyble e i dipendenti di un'unità di Telecom Italia chiamata Telsy hanno deciso di dare un'occhiata.
Table of Contents
Cosa è stato rubato?
Secondo il post di c0c0linoz, i criminali informatici in erba con qualche soldo in tasca potrebbero acquistare i nomi, gli indirizzi e-mail, i numeri di telefono e le password crittografate dei dipendenti di UniCredit. Non molto era disponibile in termini di informazioni tecniche, ma il venditore ha sottolineato che i dati erano datati "fine 2018-2019" e dopo aver controllato i record di esempio pubblicati su c0c0linoz sul forum di hacking, i ricercatori di Telsy hanno concluso che le informazioni sono autentico.
Da dove è stato rubato?
Ovviamente, una violazione in un istituto finanziario così massiccio potrebbe avere conseguenze enormi non solo per i dipendenti, ma anche per i clienti. Dopo aver sentito della storia, Bloomberg ha contattato la banca e gli è stato detto che i sistemi di UniCredit non sono stati violati. Invece, l'attacco era mirato a una piattaforma di reclutamento delle risorse umane sviluppata e gestita da una società rumena.
L'indagine di Telsy ha identificato diversi account su altri forum di hacking, che sono probabilmente collegati a c0c0linoz, e i ricercatori hanno visto che i dati venivano pubblicizzati più volte. Alcuni annunci menzionano che i dati provengono dalla Romania, ma non è chiaro se i dipendenti interessati si trovino solo nel paese dell'Europa orientale o se siano diffusi in tutto il continente.
Quanto costano i dati?
Le prove suggeriscono che la piattaforma HR di terze parti è stata hackerata tramite un'iniezione SQL. Le iniezioni di SQL sono all'estremità inferiore dello spettro quando si tratta di raffinatezza. È tutt'altro che l'attacco più difficile da realizzare, ma resta il fatto che chiunque lo abbia fatto vuole un bel soldo.
Il numero di dipendenti interessati è di circa 3 mila, e i criminali informatici che desiderano un elenco dei loro nomi possono averlo per $ 1 mila. Coloro che desiderano avere il database completo con tutti i dettagli, tuttavia, devono pagare $ 10 mila.
L'algoritmo di crittografia utilizzato per codificare le password dei lavoratori interessati non è noto, il che significa che è difficile dire quanto sia pericoloso il dato. A meno che il recupero delle credenziali in chiaro sia banale, tuttavia, le somme pubblicate nell'annuncio potrebbero escludere dal mercato c0c0linoz. Spero che questo sia esattamente ciò che accadrà, ma UniCredit dovrebbe essere pronto a mitigare il rischio nel caso non lo fosse.