TL;DR Scoperto un massiccio data leak di oltre 1 milione e 700 mila credenziali di accesso a siti governativi di tutto il mondo, tra cui oltre 6000 italiani, rubati dalla famiglia di malware Stealer. In testa alla triste classifica nazionale, oltre 2000 credenziali di accesso al portale telematico dell’Agenzia delle Entrate.
“1,753,658 credentials of 49,880 government sites have been leaked from users infected with Stealer malware.” Numeri spaventosi quelli diffusi ieri dal portale DarkTracer via Twitter:
L’elenco dei 10.000 siti web governativi contiene anche 41 portali istituzionali italiani, con un totale di oltre 6000 credenziali rubate dal malware Stealer, una famiglia di codici malevoli sviluppati per intercettare e sottrarre credenziali di accesso.
No | Government Domain | Leaked credentials |
---|---|---|
113 | telematici.agenziaentrate.gov.it | 2.152 |
502 | access.mef.gov.it | 505 |
784 | noipa.mef.gov.it | 321 |
815 | dichiarazioneprecompilata.agenziaentrate.gov.it | 309 |
825 | servizi.anpal.gov.it | 304 |
894 | sister.agenziaentrate.gov.it | 275 |
1011 | sinopolis.gov.it | 237 |
1104 | ivaservizi.agenziaentrate.gov.it | 211 |
1156 | agendacie.interno.gov.it | 199 |
1448 | accessnoipa.mef.gov.it | 154 |
1509 | myanpal.anpal.gov.it | 147 |
1535 | servizi.agenziaentrateriscossione.gov.it | 145 |
1943 | provincia.viterbo.gov.it | 110 |
2230 | agenziaentrate.gov.it | 91 |
2307 | cliclavoro.gov.it | 87 |
2522 | palizzicasoria.gov.it | 78 |
2561 | wisp2.pagopa.gov.it | 77 |
3335 | 730precompilato.agenziaentrate.gov.it | 54 |
3553 | impresainungiorno.gov.it | 50 |
3682 | pg.camcom.gov.it | 48 |
3714 | bo-bdap.mef.gov.it | 47 |
4759 | iampe.agenziaentrate.gov.it | 34 |
4765 | isvap.sviluppoeconomico.gov.it | 34 |
4873 | login.cittametropolitanaroma.gov.it | 33 |
5174 | unioncamere.gov.it | 31 |
5876 | servizionline.enac.gov.it | 26 |
5925 | concorsi.gdf.gov.it | 25 |
5990 | palladio-tv.gov.it | 25 |
6024 | signup.cittametropolitanaroma.gov.it | 25 |
6264 | bdap-operatori.mef.gov.it | 23 |
6356 | miur.gov.it | 23 |
6624 | webmail.guardiacostiera.gov.it | 22 |
7119 | web.inpdap.gov.it | 20 |
7549 | russell-fontana.gov.it | 18 |
7846 | scuolamediapadrepio.gov.it | 17 |
7858 | servizi.lavoro.gov.it | 17 |
9105 | co.lavoro.gov.it | 13 |
9376 | refertionline.asrem.gov.it | 13 |
9592 | concorsionline.gdf.gov.it | 12 |
9692 | etnaonline.comune.catania.gov.it | 12 |
9764 | login.anpal.gov.it | 12 |
È giusto precisare che il data breach, massiccio e preoccupante, riguarda le credenziali degli utenti dei portali indicati e non i portali stessi. Parliamo, quindi, delle postazioni di lavoro compromesse dal malware e conseguenze furto delle credenziali di accesso ai portali indicati.
Non sorprende che la classifica veda nelle prime posizioni i portali dell’Agenzia delle Entrate e del Ministero dell’Economia e delle Finanze, in particolare telematici.agenziaentrate.gov.it. Anche se dal 1 ottobre 2021, come indicato bene in prima pagina, per i cittadini l’accesso ai servizi è possibile solo usando SPID, CIE o CNS, per professionisti e imprese l’accesso usando le credenziali è ancora possibile e questo rende il data leak ancora più preoccupante.
DarkTracer si è resa disponibile a fornire maggiori dettagli alle istituzioni e credo che sarebbe opportuno che gli account compromessi venissero rapidamente bloccati, per impedirne accessi non autorizzati, avvertendo i legittimi assegnatari di quanto accaduto e di provvedere, il prima possibile, a sanificare le proprie postazioni di lavoro.
Per concludere, ricordo l’importanza di dotare tutte le postazioni di lavoro di una valida soluzione antivirus/antimalware e di evitare, per quanto possibile, l’uso promiscuo delle stesse. È importante anche mantenere protetti i propri account, attivando la MFA dove possibile e utilizzare sempre credenziali univoche per ogni servizio (un password manager come KeePassXC può aiutare nella gestione delle credenziali).
1 comment
Michele, sempre interessanti i tuoi post e spiegati in maniera maniacale. Grazie
Massimiliano