WeLeakInfo.com, un dominio che ha venduto l'accesso a dati privati, è stato sequestrato dall'FBI
Sappiamo tutti che i criminali informatici acquistano e vendono ogni giorno dati personali rubati e proviamo a convincerci che abbiamo fatto abbastanza per garantire che le nostre informazioni non finiscano nelle mani sbagliate. Sebbene molti di noi non conoscano il costo effettivo, tendiamo a credere erroneamente che i truffatori paghino ingenti somme di denaro per le nostre informazioni personali, ma un servizio online con il nome di WeLeakInfo.com ha rivelato che non è proprio così.
Per fortuna, i criminali informatici aspiranti intraprendenti con un budget saranno delusi nello scoprire che WeLeakInfo non esiste più. Ieri, il Federal Bureau of Investigation ha sequestrato il dominio dopo che un'indagine internazionale ha rivelato che il sito Web è coinvolto in alcune attività illegali. L'operazione ha coinvolto le unità di criminalità informatica delle forze dell'ordine negli Stati Uniti, nel Regno Unito, nei Paesi Bassi e in Germania e, oltre a smantellare il sito Web, ha comportato anche l'arresto di una coppia di 22enni nell'Irlanda del Nord e Paesi Bassi. Vediamo come sono finiti in questo casino.
Cosa ha fatto WeLeakInfo?
WeLeakInfo era solito pubblicizzarsi come un servizio di avviso di violazione dei dati. La sua homepage era dominata da un campo di ricerca piuttosto grande in cui inserire il nome utente, l'indirizzo e-mail, la password o altri dettagli personali. Le informazioni inserite verranno quindi confrontate con una vasta raccolta di database rubati e divulgati durante le violazioni dei dati presso varie organizzazioni e, in caso di corrispondenza, il servizio ti farebbe sapere. Secondo il profilo Twitter di WeLeakInfo (che è ancora attivo al momento della stesura), gli operatori del sito Web sono riusciti a raccogliere 12 miliardi di record trapelati in non meno di 10 mila violazioni dei dati. C'è qualcosa di moralmente o legalmente sbagliato nell'intera operazione?
Se fatto correttamente, questo tipo di servizio può aiutare le persone a migliorare la propria sicurezza online. In effetti, Troy Hunt, uno dei nomi più influenti nel settore della sicurezza informatica, deve una parte non trascurabile della sua fama a una piattaforma simile chiamata HaveIBeenPwned, che ha lanciato nel 2013. Come WeLeakInfo, HaveIBeenPwned consente agli utenti di verificare se i loro dettagli personali (indirizzo e-mail e password nel caso del servizio di Hunt) sono stati esposti durante una violazione dei dati. A prima vista, i due servizi sono praticamente identici.
Perché, allora, uno di loro ha conferito al suo proprietario uno status di celebrità, mentre l'altro ha messo i suoi presunti operatori in manette?
Perché WeLeakInfo è stato chiuso?
Uno dei motivi per cui HaveIBeenPwned ha così tanto successo è perché ha numerosi meccanismi progettati per mantenere la privacy delle vittime della violazione dei dati il più sicura possibile. WeLeakInfo, d'altra parte, ne stava facendo soldi.
Il sito Web sequestrato offriva tre piani di abbonamento a pagamento, che offrivano ai clienti un accesso illimitato all'enorme corpus di dati su cui si basava il servizio. In altre parole, chiunque abbia qualche soldo in tasca potrebbe andare su WeLeakInfo, pagare un piano, cercare e scaricare tutti i 12 miliardi di dischi rubati che voleva. L'unico fattore limitante era il tempo, e dipendeva dal piano scelto dal cliente. L'abbonamento più economico ha permesso ai clienti di WeLeakInfo di accedere ai dati per un solo giorno, ma c'erano anche piani per una settimana, un mese e tre mesi.
Ci sono ancora alcune incognite. Non è chiaro, ad esempio, se tutti i 12 miliardi di record contenessero password. Inoltre non abbiamo idea di quale parte delle password sia stata archiviata in testo normale. Citando le indagini in corso come motivo, le forze dell'ordine hanno rifiutato di fornire dettagli sulla popolarità di WeLeakInfo, il che significa che è difficile stimare l'entità del danno potenziale. Il raid della polizia può essere un buon indicatore, tuttavia, che il pericolo era molto reale.
Interrompendo l'operazione WeLeakInfo, le agenzie di lotta alla criminalità informatica ci hanno anche dato una buona idea di quanto costano effettivamente i dati rubati agli utenti ignari di Internet. Il piano più costoso di WeLeakInfo ha consentito agli abbonati di accedere a 12 miliardi di record rubati per un totale di tre mesi e costa $ 70. Questo, nel caso in cui non lo abbia ancora calcolato, ammonta a meno di $ 0,80 al giorno.
