Le violazioni dei database sono ormai fin troppo comuni negli ultimi anni, esponendo al pubblico informazioni personali di milioni di persone attraverso attacchi a società e istituzioni. Alcuni di questi assalti sono il risultato di sofisticate operazioni di spionaggio di Stato, mentre altri sono perpetrati da criminali online che sperano di vendere i dati rubati sul dark web. Nel corso delle prime due settimane di maggio, un gruppo di hacker chiamato Shiny Hunters ha dichiarato di aver sottratto 200 milioni di dati personali relativi ad account di almeno 13 diverse aziende.

«La cosa interessante di questo è come questo gruppo è apparso dal nulla e aveva tutti questi nuovi dati in vendita», afferma Vinny Troìa, CEO della società di sicurezza informatica Night Lion Security, che ha monitorato le attività di Shiny Hunters. «Secondo noi è la riaggregazione di qualche altro collettivo – continua -, nessuno entra in scena con un’operazione così vasta. Ecco perché non credo che Shiny Hunters sia un nuovo attore in questo settore. Un sacco di crimini informatici inizieranno a emergere al grande pubblico ormai: è diventata quasi un’operazione pubblicitaria».

Il primo maggio, ShinyHunters si è annunciato per la prima volta con un campione di 15 milioni di dati dei clienti rubati dal sito di e-commerce indonesiano Tokopedia. Due giorni dopo, gli hacker iniziano a vendere sulla darknet quello che sostenevano fosse un archivio di 91 milioni di account utente Tokopedia, sul famoso sito “oscuro” Empire. Lo stesso giorno, il gruppo ha anche iniziato a vendere una trentina di dataset da quasi 22 milioni di account utente acquisiti dalla piattaforma di istruzione indiana Unacademy. Entrambe le società hanno confermato le violazioni, sebbene Unacademy affermi che il numero di utenti interessati sia in realtrà di 11 milioni.

I due dump di dati contenevano password, ma sono in formato hash e quindi difficili da decifrare. I datataset contengono anche informazioni come nomi utente, indirizzi e-mail, nomi completi, data di creazione dell’account e data di ultimo accesso, oltre a numeri di telefono e date di nascita nel caso di Tokopedia.

ShinyHunters ha quindi annunciato, il 6 maggio, di aver rubato oltre 500 GB di codice sorgente Microsoft dall’account GitHub privato dell’azienda. Il gruppo ha distribuito un gigabyte di dati del loro bottino a scopo dimostrativo, ma i ricercatori di sicurezza informatica hanno successivamente concluso che i materiali erano in gran parte pezzi di beta test e frammenti di codice che erano comunque destinati alla pubblicazione da parte di Microsoft stessa. «Siamo a conoscenza di queste operazioni e stiamo indagando», ha dichiarato Microsoft al settimanale WIRED in una nota.

Dopo aver generato clamore nei media di settore con queste prime operazioni, gli Shiny Hunters hanno alzato il tiro la settimana seguente, affermando di aver rubato dati da altri 10 siti, tra cui l'app di appuntamenti Zoosk, la società di kit di pasti rapidi Home Chef, il design market Minted, il quotidiano Star Tribune del Minnesota, il sito salute e benessere Mindful, il servizio di stampa fotografica Chatbooks e la webzine Chronicle of Higher Education. Non tutte le società hanno confermato le affermazioni di Shiny Hunters.

Sebbene la maggior parte delle violazioni confermate di ShinyHunters non rivelino password in chiaro, molte aziende interessate stanno ancora avvisando i propri utenti cambiano la password, per ogni evenienza. I dati ShinyHunters stessi non offrono ai truffatori un percorso diretto per la semplice frode, ma costruiscono comunque un set dettagliato di indizi per i criminali, magari per indovinare la risposta alle domande di sicurezza. E che si tratti davvero dei “nuovi” Shiny Hunters o di un altro attore a fare le violazioni, sembra che il mercato dei dati rubati non conosca crisi.

Tweet