Ongeveer 3.000 gegevens van UniCredit-werknemers worden te koop aangeboden na een hackaanval
Op 19 april bood een gebruiker van een hackforum die zich verschuilde achter de c0C0linoz-naam persoonlijke en werkgerelateerde informatie te koop aan van UniCredit-werknemers. UniCredit is de grootste bank in Italië en een van de grootste financiële instellingen in Europa. Het heeft bijna 100 duizend werknemers en dochterondernemingen in een aantal landen. Veel mensen waren geïnteresseerd in wat er precies te koop werd aangeboden, en onderzoekers van Cyble en medewerkers van een Telecom Italia-eenheid genaamd Telsy besloten om een kijkje te nemen.
Table of Contents
Wat is er gestolen?
Volgens de post van c0c0linoz konden beginnende cybercriminelen met wat geld op zak de namen, e-mailadressen, telefoonnummers en gecodeerde wachtwoorden van werknemers van UniCredit kopen. Er was niet veel beschikbaar op het gebied van technische informatie, maar de verkoper wees erop dat de gegevens dateerden van "eind 2018-2019" en na het controleren van de voorbeeldrecords die c0c0linoz op het hackingforum had gepost, concludeerden de onderzoekers van Telsy dat de informatie authentiek.
Waar is het vandaan gestolen?
Het is duidelijk dat een inbreuk bij zo'n enorme financiële instelling enorme gevolgen kan hebben, niet alleen voor werknemers, maar ook voor klanten. Na het verhaal te hebben gehoord, nam Bloomberg contact op met de bank en kreeg te horen dat de systemen van UniCredit niet zijn geschonden. In plaats daarvan was de aanval gericht op een HR-rekruteringsplatform dat werd ontwikkeld en beheerd door een Roemeens bedrijf.
Telsy's onderzoek bracht verschillende accounts aan het licht op andere hackfora, die waarschijnlijk verband houden met c0c0linoz, en de onderzoekers zagen dat er meerdere keren reclame werd gemaakt voor de gegevens. Sommige advertenties vermeldden wel dat de gegevens afkomstig zijn uit Roemenië, maar het blijft onduidelijk of de betrokken werknemers zich alleen in het Oost-Europese land bevinden of dat ze over het hele continent verspreid zijn.
Hoeveel kost de data?
Er zijn aanwijzingen dat het HR-platform van derden is gehackt via een SQL-injectie. SQL-injecties bevinden zich aan de onderkant van het spectrum als het gaat om verfijning. Het is verre van de moeilijkste aanval om uit te voeren, maar het feit blijft dat degene die het heeft gedaan een aardige cent wil.
Het aantal getroffen werknemers ligt rond de drieduizend en cybercriminelen die een lijst met hun namen willen, kunnen die voor duizend dollar krijgen. Degenen die de volledige database en alle details willen hebben, moeten echter $ 10.000 betalen.
Het versleutelingsalgoritme dat wordt gebruikt om de wachtwoorden van de betrokken werknemers door elkaar te gooien, is onbekend, wat betekent dat het moeilijk te zeggen is hoeveel risico de gegevens met zich meebrengen. Tenzij het ophalen van de inloggegevens in leesbare tekst triviaal is, kunnen de bedragen die in de advertentie worden gepost, c0c0linoz uit de markt prijzen. Hopelijk is dit precies wat er gaat gebeuren, maar UniCredit moet bereid zijn om het risico te verkleinen als dat niet het geval is.
