Articoli

La memoria umana è breve, per questo ho deciso di scrivere questo diario che riepiloga gli attacchi informatici subiti dal partito Italiano M5S. Ho scelto di creare questa scaletta sul Movimento 5 Stelle perché ad oggi sono il soggetto politico che ha subito un maggior numero di attacchi e inoltre si sono sempre definiti un partito del web; per cui ritengo opportuno analizzare e tenere traccia di queste informazioni.

  • 11 Aprile 2013: Il referendum online dedicato agli iscritti del partito per esprimere la propria preferenze sul futuro Presidente del Consiglio è stato sospeso, Beppe Grillo ammetterà che “sono state oggetto di attacco di hacker” anche se non verranno mai fornite prove tangibili. Fonte1Fonte2
  • 24 Aprile 2013: Un gruppo che si definisce “Gli Hacker del PD” pubblica le eMail della deputata stellata Giulia Sarti. Fonte1Fonte2
  • 28 Giugno 2013: AntiSecITA effettua un deface del sito web di Casaleggio. Fonte1Fonte2
  • 26 Febbraio 2014: L’account Twitter della Casaleggio Associati è stato compromesso, la password in uso era la via della sede legale della società. Fonte1Fonte2
  • 31 Luglio 2017: @evaristegal0is avvisa lo staff del Movimento 5 Stelle che il loro portale per le votazioni online (Rousseau) ha diverse vulnerabilità, tra cui una SQL Injection che permette la lettura del database delle votazioni e relativi dati degli utenti. Fonte1Fonte2
  • 2 Agosto 2017: A seguito della risoluzione dei problemi di sicurezza che affliggevano il portale Rousseau Evariste pubblica una Responsible Disclosure indicando quali dati venivano esposti. Fonte1Fonte2
  • 3 Agosto 2017: r0gue_0 si mostra su Twitter ed inizia la pubblicazione di una parte del database del Movimento 5 Stelle, non solo di Rousseau ma anche dei siti collegati. Fonte1Fonte2
  • 4 Agosto 2017: r0gue_0 continua a pubblicare dati personali provenienti dal database del Movimento 5 Stelle. Fonte1
  • 5 Agosto 2017: r0gue_0 continua a pubblicare dati e mette in vendita il database per 0,3 BTC. Fonte1Fonte2Fonte3Fonte4Fonte5Fonte6
  • 8 Agosto 2017: r0gue_0 continua a pubblicare dati. Fonte1Fonte2
  • 23 Settembre 2017: Il blog beppegrillo.it viene compromesso e viene pubblicato un articolo da r0gue_0 attraverso l’account di Davide Corona. Fonte1Fonte2
  • 23 Settembre 2017: r0gue_0 dimostra di avere accesso al blog movimento5stelle.it attraverso l’account di Giancarlo Cancelleri. Fonte1
  • 23 Settembre 2017: r0gue_0 pubblica un nuovo articolo a nome di Massimo Ferrari. Fonte1
  • 24 Settembre 2017: r0gue_0 dimostra di avere accesso al blog movimento5stelle.it attraverso l’account di Mario Bucchich. Fonte1
  • 24 Settembre 2017: r0gue_0 dimostra di avere accesso al blog movimento5stelle.it attraverso l’account di Pietro Dettori. Fonte1
  • 24 Settembre 2017: r0gue_0 dimostra di avere accesso al blog movimento5stelle.it attraverso l’account di Massimo Bugani. Fonte1
  • 24 Settembre 2017: r0gue_0 dimostra di avere accesso al blog movimento5stelle.it attraverso l’account di Marco Maiocchi. Fonte1
  • 24 Settembre 2017: r0gue_0 dimostra di avere accesso al blog movimento5stelle.it attraverso l’account di Gianroberto Casaleggio. Fonte1
  • 7 Febbraio 2018: r0gue_0 pubblica un nuovo articolo sul blog movimento5stelle.it tramite l’account di Davide Casaleggio pubblicando i dati personali di Casaleggio (Cellulare, Codice Fiscale, Numero e Scadenza Patente di Guida). Fonte1Fonte2
  • 5 Settembre 2018: r0gue_0 pubblica un log di accesso al database del Movimento con privilegi SUPER (ovvero di un amministratore). Fonte1
  • 5 Settembre 2018: r0gue_0 pubblica le tabelle del database web05db01. Fonte1Fonte2
  • 5 Settembre 2018: r0gue_0 pubblica un estratto delle donazioni ricevute dal Movimento a Luglio 2018, donazioni confermate dalle persone coinvolte. Fonte1Fonte2
  • 6 Settembre 2018: r0gue_0 pubblica eMail, Password e numeri di Cellulari di Toninelli Danilo, Bonafede Alfonso, Luigi di Maio. Fonte1
  • 7 Settembre 2018: r0gue_0 pubblica eMail, Password e numeri di Cellulari di Virginia Raggi e Paola Taverna. Fonte1Fonte2
  • 8 Settembre 2018: r0gue_0 pubblica eMail, Password e numeri di Cellulari di Davide Casaleggio e Luca Eleuteri. Fonte1
  • 8 Settembre 2018: r0gue_0 pubblica la tabella dei log delle votazioni online avvenute. Fonte1
  • 13 Settembre 2018: r0gue_0 pubblica eMail, Password e numero di Cellulare di Alessandro di Battista. Fonte1

 

Articolo aggiornato il 26 Settembre alle 14:40 UTC.

YouPorn uno dei siti porno più popolari è caduto in una “vulnerabilità” informatica, anzi è stato messo alla luce il pessimo sistema di realizzazione del sito internet. Sembra infatti che tutte le credenziali degli utenti del famoso sito pornografico fossero consultabili facilmente da tutti e quindi non vi era alcun tipo di protezione a tutela dei dati. Anders Nilsson ha rilevato e pubblicato sul suo blog questa lacuna oltre ad un link a PasteBin con più di 6mila credenziali di accesso (eMail e Password in chiaro).

Un duro colpo per la Privacy, non solo è stata esposta una password e la relativa associazione all’eMail in chiaro ma si potrebbero creare anche dei precedenti a livello lavorativo o di coppia.

È possibile consultare l’archivio sul sito di Paste Bin: http://pastebin.com/ieC6eTB7  http://pastebin.com/Jjacz5Zt

Facciamoci due risate… 🙂

[AGGIORNAMENTO 23/02/2012]

I dati raccolti provengono dal servizio di chat YouPorn Chat, il sistema di registrazione risalente al 2007 prevedeva la memorizzazione di tutte le credenziali di accesso in un file .log accessibile da chiunque, come è possibile visualizzare dalle immagini sottostanti.

[AGGIORNAMENTO x2 23/02/2012]

Nuovo PasteBin: http://pastebin.com/Jjacz5Zt

[AGGIORNAMENTO x3 24/02/2012]

Il ricercatore Nilssonanders ha pubblicato una statistica delle principali password utilizzate dagli utenti di You Porn Chat visualizzabile sempre su PasteBin.

Un estate di fuoco per chi si occupa di sicurezza! Il giorno 1 Agosto il sito www.backbox.org è stato defacciato da un gruppo di cracker iraniani conosciuti con lo pseudonimo di eMP3R0r TEAM. La loro pagina è rimasta online per circa 2 ore prima che il sito venisse ripristinato. In verità la vicenda ha dei risvolti clamorosi, come emerge dal comunicato stampa rilasciato dal Team di BackBox. Il problema era dovuto ad una errata configurazione del server condiviso del noto provider italiano Netsons che per diversi giorni ha esposto le home di migliaia di utenti agli attacchi dei cracker! Per nostra fortuna backbox.org è stato l’unico sito a subire il deface ma non è da escludere che i dati di altri siti siano stati trafugati per attacchi futuri. Dall’analisi condotta dal team di BackBox ben 5000 account erano vulnerabili!

L’attacco è partito da un sito web con una installazione insicura di Joomla residente sullo stesso server condiviso, per stessa ammissione di Netsons il server HP4. I cracker dopo aver sfruttato un bug di Joomla hanno caricato una webshell grazie alla quale hanno avuto accesso alla home di backbox.org. “Stranamente” da diversi giorni tutte le home degli account hostati sul server condiviso potevano essere navigate senza alcuna restrizione da qualsiasi utente! I cracker ottenuti i dati relativi all’installazione del forum di BackBox (SMF) e utilizzando la stessa webshell, non hanno avuto problemi a modificare il record del database MySQL relativo all’account admin ottenendo cosi accesso al pannello di amministrazione del forum. Il passo successivo è stato caricare una backdoor nella home di backbox.org che hanno poi utilizzato per modificare i files index.php del sito.

La vulnerabilità è stata individuata da Raffaele Forte esperto di sicurezza e responsabile del progetto BackBox Linux. Da una sua dichiarazione risulta che il provider italiano è intervenuto a fixare il problema solo dopo che lui stesso abbia dato dimostrazione di come i dati dei loro utenti fossero liberamente accessibili. Dalla prima segnalazione sono passati ben cinque giorni prima che Netsons prendesse in considerazione quanto denunciato dal Team di BackBox. Stando alle dichiarazioni del provider sembra che il problema sia stato causato da un aggiornamento ad una nuova versione di php. In breve i permessi della directory “public_html” dei vari account sono stati impostati con valori errati spalancando le porte ai cracker iraniani.

Alla luce dei fatti la vicenda ha avuto dei risvolti drammatici per come è stata gestita dall’ISP italiano. Essendo un hosting condiviso la responsabilità dell’accaduto non è certo del Team di BackBox il quale, nonostante il rifiuto da parte di Netsons di fornirgli i log degli accessi al loro sito, hanno avviato una indagine interna che ha poi portato a risolvere il problema. Ci chiediamo come si sarebbe evoluta la vicenda se il Team di BackBox si fosse limitato solo a ripristinare il loro sito. Avremmo forse assistito al piu grande un “mass defacement” della storia dei provider italiani? La cosa inquietante è che ad oggi nessuna comunicazione ufficiale è stata rilasciata da Netsons che a questo punto sembra voler nascondere l’intera vicenda. Invitiamo pertanto tutti gli utenti ad effettuare un backup preventivo e cambiare le password di accesso ai loro siti.

Oggi alla fiera Parigina Solutions Linux Open Source è stata presentata la nuova versione di BackTrack che ha raggiunto la quinta versione, introducendo diverse migliorie come vi abbiamo descritto nel nostro precedente articolo.

La pagina descrittiva di BackTrack sul sito ufficiale del salone dell’Open Source ha subito però un attacco con particolare attenzione alla presentazione della distribuzione, il sito riportava testualmente:

BackTrack est une distribution qui utilise des logiciels open source, sans partager la philosophie et les principes, a des fin financières seulement. La promotion de leurs cours qui ont pour principal objectif de gagner de l’argent pour nos membres et de délivrer des certifications à toutes fins pratiques sont inutiles.

sfruttando Google Translator capiamo che la frase non ha un tono amichevole:

BackTrack è una distribuzione che utilizza il software open source senza condividere la filosofia e i principi, ha uno scopo esclusivamente finanziario. Promuovere i propri corsi il cui obiettivo principale è quello di guadagnare denaro per i nostri membri e di rilasciare le certificazioni ai fini pratici, sono inutili.

Facile intuire che l’attacco è avvenuto per definire inutili e lucrative le certificazioni rilasciate dai corsi della Offensive Security, organizzazione controllata dal Team di BackTrack, e contro la politica di di non rendere aperto il codice sorgente nelle precedenti versioni della distribuzione.

L’attacco è stato rivendicato attraverso Twitter con messaggi diretti ai principali soggetti della scena Hacker Internazionale e in principal modo verso i membri di BackTrack; personalmente sono stato menzionato in un Tweet nel quale veniva riportato il seguente testo:

#BackTrack_Hacked – New description on the site of Solutions Linux Open Source! http://tiny.cc/56mpi http://tiny.cc/8tsx0

Il sito ufficiale MySQL.com è stato compromesso tramite la tecnica di SQL injection, TinKode & Ne0h e così cosi riusciti ad estrapolare il contenuto di ben 46 Database presenti sul server comprensivi ovviamente di password e dettagli personali.

L’attacco avrebbe sfruttato la seguente pagina di dimostrazione dei servizi offerti:

Vulnerabile Target: http://mysql.com/customers/view/index.html?id=1170
Host IP: 213.136.52.29
Web Server: Apache/2.2.15 (Fedora)
Powered by: PHP/5.2.13
Iniezione Tipo: Blind MySQL
DB Corrente: web

Curioso invece notare che la password  di Robin Schumacher (MySQL di Product Management) contenuta nel database crakkato sia semplicemente composta da quattro numeri! 😮

E’ possibile visualizzare i dati sensibili estratti dai database grazie tramite le note TinKode & Ne0h lasciate da su Pastebin.

Nel tardo pomeriggio odierno  il sito di TOPHost, servizio di hostig, è stato defacciato da un gruppo di anonimi Hacker Italiani che ha provveduto a sostituire la Homepage con la seguente dicitura:

!!! La sicurezza di questo provider è stata violata, tutti gli account (accessi ftp, mysql, anagrafiche, ecc) dei suoi clienti sono stati compromessi !!!

Nessuno di questi dati verrà utilizzato per fini illegali, ne manomesso in alcun modo, questa azione nasce da un gruppo di individui stanchi di avere costantemente a che fare con l’incompetenza dello staff di TopHost, il quale dopo ripetute email nelle quali veniva informato delle numerose falle dei suoi sistemi, ha deciso di ignorare tali avvisi e mettere a serio rischio la sicurezza dei suoi clienti pur di non spendere qualche ora per risolvere i problemi della propria infrastruttura.

Anche noi siamo clienti di TopHost ed in quanto tali siamo stanchi di pagare nonostante i continui downtime dei nodi, i rallentamenti, i disagi, la maleducazione dello staff nel rispondere ai ticket e soprattutto nonostante un sistema informatico che va a picco.

Un consiglio per gli altri clienti TopHost : Cambiate gestore, questo provider non è sicuro ne tantomeno professionale!

Un consiglio per TopHost : Imparate la modestia e a fare il vostro mestiere come si deve!

Attualmente il loro sito internet risulta essere in manutenzione, rimango personalmente curioso di sapere qualcosa di più di tale vicenda in primis l’autore e la tecnica sfruttata.

[AGGIORNAMENTO 6/1/2011]

TopHost tramite un comunicato stampa avverte di aver risolto il problema e di aver identificato l’autore del misfatto:

Ci scusiamo per il disagio causato dalla non raggiungibilità del sito www.tophost.it a causa di sciocche attività effettuate da un perditempo. Purtroppo il mondo ne è pieno.

Siamo intervenuti tempestivamente e rassicuriamo i clienti sull’integrità dei loro dati sensibili, che risultano protetti.

Siamo anche riusciti a individuare l’autore della bravata e raccolto le informazioni utili al caso. Provvederemo ad effettuare regolare denuncia a nome e cognome.

Buona serata.

Ringrazio Evilsocket per la segnalazione.