Cybersecurity in 2020: Data Breach TOP10

L’annus horribilis 2020 sta per concludersi ed è il momento di fare un bilancio dei 12 mesi appena trascorsi, anche nel settore della cybersecurity. E’ stato un anno decisamente impegnativo, che ha visto il diffondersi della pandemia da Sars-CoV19 accelerare tutta una serie di processi che, in qualche modo, hanno toccato anche l’ambito della sicurezza informatica. Ad esempio, la veloce e importante diffusione dello smartworking che ha portato molte aziende ad allentare le maglie del loro firewall, così che anche i cybercriminali ne hanno approfittato.

Ovviamente non è solo a causa di questo che l’anno 2020 ha confermato il trend in costante crescita degli incidenti informatici (e del relativo costo): la presenza sempre più massiccia dei sistemi ICT in ogni aspetto della nostra vita, dal PC a lavoro ai dispositivi IoT che governano la nostra casa, ogni vulnerabilità scoperta ha spesso impatti devastanti sulla società. Società che non ha saputo evolvere meccanismi di difesa velocemente come la diffusione della tecnologia.

Vediamo una TOP10 dei data breach occorsi, in una classifica basata sul numero di records esposti (liberamente ispirato dall’articolo di Security Magazine “The top 10 data breaches of 2020):

1° posto: CAM4, con 10.88 miliardi di records

Anurag Sen, presso Safety Detectives, ha scoperto un significativo leak di dati appartenenti al sito web per adulti CAM4.com, di proprietà irlandese.

Il database, secondo il team di ricerca, ha superato i 7 terabyte con i registri di produzione risalenti al 16 marzo 2020 e in aumento ogni giorno, contenente 10.88 miliardi di record con informazioni personali relativi ai clienti del portale d’intrattenimento per adulti.

2° posto: Advanced Info Service (AIS), con 8.3 miliardi di records

Il 7 maggio Justing Paine, ricercatore di sicurezza e responsabile del Trust & Safety di Cloudflare, ha scoperto un database aperto ElasticSearch. Il database sembrava essere controllato da una filiale di un importante operatore di rete mobile thailandese chiamato Advanced Info Service (AIS – un grande operatore di telefonia mobile GSM con 39,87 milioni di clienti) e conteneva una combinazione di log di interrogazione DNS e log NetFlow per quelli che sembravano essere clienti AWN. Nel corso delle tre settimane in cui il database è stato esposto, il volume dei dati è cresciuto significativamente, aggiungendo circa 200 milioni di nuove righe di dati ogni 24 ore.

Al 21 maggio c’erano 8.336.189.132 records memorizzati nel database. L’AIS ha confermato la fuga di dati, riconoscendo che le loro “procedure sono fallite” e ringraziando Paine per la sua diligenza nell’affrontare il problema e nel contattare l’AIS, così come il Thailand National CERT team.

La società ha anche verificato che i dati trapelati non contenevano informazioni personali che potessero essere utilizzati per identificare un cliente.

3° posto: Keepnet Labs, con 5 miliardi di records

Nel marzo 2020, Bob Diachenko ha riferito di essersi imbattuto in un database Elasticsearch che sembrava essere gestito da una società di sicurezza con sede nel Regno Unito, secondo il certificato SSL e il reverse DNS.

Diachenko ha osservato che “l’ironia della scoperta è che si trattava di un database di violazione dei dati“, un’enorme raccolta d’incidenti di sicurezza precedentemente segnalati nel periodo 2021-2019.

Anche se i dati aziendali e le registrazioni dei clienti non sono stati esposti, l’incidente ha comportato la raccolta di dati precedentemente segnalati. Diachenko ha scoperto che i dati erano stati indicizzati da BinaryEdge, e il cluster Elasticsearch aveva due raccolte: leaks_v1 con 5.099.635.374 record e leaks_v2 con più di 15 milioni di record, aggiornati in tempo reale. Diachenko ha notato che i dati erano “molto ben strutturati” e comprendevano:

  • hashtype (il modo in cui è stata presentata la password: MD5/hash/plaintext ecc);
  • data del leak (anno);
  • password (hash, criptata o in chiaro);
  • email;
  • dominio email;
  • origine del leak (Diachenko è stato in grado di confermare alcuni dei più importanti: Adobe, Last.fm, Twitter, LinkedIn, Tumblr, VK e altri);

In giugno, Keepnet Labs ha rilasciato una dichiarazione pubblica, ammettendo la perdita di dati. Secondo la dichiarazione, nel marzo 2020, hanno iniziato a lavorare con un nuovo fornitore di servizi, che “stava eseguendo la manutenzione programmata e stava migrando il database di ElasticSearch […] durante questa operazione, purtroppo, l’ingegnere responsabile ha poi riferito di aver dovuto disattivare il firewall per circa 10 minuti per accelerare il processo. Durante questa finestra, il servizio di indicizzazione Internet, BinaryEdge indicizzava questi dati.

Keepnet ha contattato Diachenko, così come altri media, per far modificare le storie in modo che “il lettore non venga fuorviato da questo incidente, per quanto involontario possa essere stato”.

4° posto: BlueKai, oltre 1 miliardo di records

Nel giugno 2020, il ricercatore Anurag Sen ha trovato un database non protetto accessibile su Internet. Il database conteneva oltre un miliardo di record contenenti nomi, indirizzi di casa, indirizzi e-mail e attività di navigazione sul web come acquisti e newsletter.

La startup BlueKai è stata acquistata per oltre 400 milioni di dollari nel 2019 da Oracle. TechCrunch ha riferito che l’applicazione aveva accumulato una delle più grandi banche di dati di tracciamento web al di fuori del governo federale, utilizzando i cookie del sito web e altre tecnologie di tracciamento per seguire gli utenti in tutto il web.

Secondo Cyware, BlueKai traccia l’1,2% di tutto il traffico web e tiene traccia di alcuni dei più grandi siti web del mondo, tra cui Amazon, Forbes, MSN.com, Levi’s e The New York Times. Dato il volume di dati su questo server non protetto, si è trattata di una delle più grandi violazioni della sicurezza informatica del 2020.

5° posto: Whisper, con 900 milioni di records

Un database non protetto, contenente 900 milioni di messaggi Whisper, e tutti i metadati relativi a questi messaggi, è stato trovato online all’inizio di marzo.

Whisper è una applicazione di “condivisione di segreti”, che si definiva il “luogo più sicuro su Internet”. Il leak esponeva informazioni personali degli utenti, tra cui confessioni intime, età, luoghi e altri dettagli, e permetteva a chiunque di accedere a tutte le informazioni.

Le registrazioni esposte non includevano nomi reali, ma includevano l’età dichiarata dell’utente, l’etnia, il sesso, la città natale, il soprannome e qualsiasi appartenenza a gruppi, molti dei quali sono dedicati alle confessioni sessuali e alla discussione sull’orientamento e i desideri sessuali.

6° posto: Sina Weibo, con 538 milioni di records

In marzo, si è diffusa la notizia che i dati personali di oltre 538 milioni di utenti del social network cinese Weibo erano in vendita online. Un hacker ha poi affermato di aver violato Weibo a metà del 2019 e di aver ottenuto un database che conteneva i dati di 538 milioni di utenti, in vendita sul dark web per 250 dollari.

La banca dati non avrebbe avuto un particolare valore in termini di “potenziale di hacking” in quanto non conteneva password d’informazioni di pagamento. Tuttavia, i record contenevano informazioni personali come nomi reali, nomi utente del sito, sesso, ubicazione e numeri di telefono per 172 milioni di utenti. Le informazioni esposte potrebbero portare a truffe, frodi e altri tipi di tentativi di furto d’identità.

7° posto: Estée Lauder, con 440 milioni di records

A fine gennaio il ricercatore sulla sicurezza Jeremiah Fowler ha scoperto online un database appartenente al gigante della cosmesi Estée Lauder, contenente un totale di 440.336.852 record.

In una dichiarazione, l’azienda ha osservato che il database proveniva da una “piattaforma educativa”, che non conteneva dati sui consumatori. Non è stata trovata alcuna prova di un uso non autorizzato dei dati.

Fowler ha detto a Forbes che l’intero database era accessibile a chiunque avesse una connessione a Internet, quindi chiunque avrebbe potuto potenzialmente avere accesso o rubare i dati mentre non era protetto. I record contenevano le e-mail degli utenti in chiaro, riferimenti a rapporti e altri documenti interni, indirizzi IP, porte, percorsi e informazioni di archiviazione.

8° posto: Broadvoice, con 350 milioni di records

Bob Diachenko, ricercatore nell’ambito della cybersecurity, ha scoperto un cluster esposto di database appartenenti al fornitore di telecomunicazioni Voice over IP (VoIP) Broadvoice, contenente i record di oltre 350 milioni di clienti.

Diachenko ha scoperto le informazioni della banca dati il 1° ottobre e ha trovato, tra gli altri dati:

  • nomi dei chiamanti;
  • numeri di telefono;
  • località;

Un database comprendeva trascrizioni di centinaia di migliaia di messaggi vocali, molti dei quali riguardavano informazioni sensibili come dettagli su prescrizioni mediche e prestiti finanziari. In quel sottoinsieme di dati sono stati inclusi più di 2 milioni di record di messaggi vocali, 200.000 dei quali sono stati trascritti.

La maggior parte di questi record contiene il nome del chiamante (nome completo, nome commerciale o un nome generico), il numero di telefono, un nome o un identificatore per la casella vocale (ad esempio, un nome o un’etichetta generale, come “personale clinico” o “appuntamenti”) e altri identificatori interni.

9° posto: Wattpad, con 268 milioni di records

Nel giugno 2020 il sito web di storie generate dagli utenti Wattpad ha subito un’enorme violazione dei dati che ha esposto qualcosa come 268.745.495 milioni di record.

I dati sono stati inizialmente venduti per oltre 100.000 dollari e, successivamente, pubblicati su un forum pubblico di hacking dove sono stati ampiamente condivisi gratuitamente, secondo BleepingComputer.

L’incidente ha esposto numerose informazioni personali degli utenti, tra cui;

  • nomi e cognomi;
  • indirizzi e-mail;
  • IP;
  • genere;
  • posizione geografica generale;
  • data di nascita;
  • password (memorizzate come bcrypt hashes);

10° posto: Microsoft, con 250 milioni di records

Il 22 gennaio Microsoft ha comunicato una violazione dei dati avvenuta nel dicembre 2019. Attraverso un post sul blog, la società ha dichiarato che una modifica apportata al gruppo di sicurezza della rete del database il 5 dicembre 2019 conteneva regole di sicurezza mal configurate che consentivano l’esposizione dei dati.

Secondo quanto si apprende da numerosi articoli in rete, i server contenevano 250 milioni di voci, con informazioni come indirizzi e-mail e indirizzi IP.

L’errore di configurazione era specifico di un database interno utilizzato per l’analisi dei casi di supporto –a quanto dice Microsoft– e non rappresentava un’esposizione ai suoi servizi cloud commerciali.

L’indagine di Microsoft non ha rilevato alcun “uso improprio e la maggior parte dei clienti non ha avuto informazioni d’identificazione personale esposte“. La segnalazione è stata fatta dal ricercatore Bob Diachenko.


Questi sono solamente i 10 data leaks più “pesanti” in termini di numero di dati esposti. La classifica non comprende gli attacchi causati da ransomware, che nel 2020 hanno visto un aumento importante colpendo numerose aziende del calibro di Luxottica, Campari, un contractor della NASA e molti altri Enti e Aziende in tutto il mondo (il sito web doubleextortion.com offre una panoramica completa). Da sottolineare il cambio di strategia dei gruppi criminali che, dopo aver sequestrato intere Reti e relativi dati, in caso di mancato pagamento del riscatto minacciano di pubblicare tutto il materiale sul web. Puntando sulla minaccia di divulgare informazioni riservate o compromettenti, spingono le aziende a pagare: un business sempre più redditizio, per i cybercriminali, dimostrato dalle numerose campagne di malware che hanno flagellato le Reti informatiche mondiali.

Insieme ad attacchi cyber sempre più sofisticati, come ha dimostrato la vicenda che ha colpito la Solar Winds, ultima di una lunga collezione di attacchi state-sponsored, Internet sta mostrando sempre più il suo lato oscuro.

Secondo Trend Micro, il 2021 sarà l’anno degli attacchi ai sistemi cloud, insieme alle reti casalinghe e strumenti di lavoro da remoto. Speriamo che il 2021 sia, invece, l’anno in cui la cybersecurity sarà al centro di tutte le agende e tutti i programmi, sia pubblici che privati: sottovalutare ancora la questione potrebbe costarci molto caro.

Questo articolo è stato visto 1 volte (Oggi 1 visite)

Hai imparato qualcosa di nuovo?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.