Con l’evidenza che anche Federprivacy, l’associazione che rappresenta i professionisti della protezione dei dati, è caduta vittima dei cybercriminali di Alpha Team, si apre un vaso di pandora sulla gestione degli assets digitali a tutti i livelli. Questa cybergang, ha ora messo nel mirino l’organizzazione che si propone di difendere la sicurezza dei dati.
A partire da questa mattina, il sito Web dell’organizzazione italiana sulla privacy, è stato deturpato, rendendolo indisponibile e facendo apparire come homepage la rivendicazione criminale dell’attacco, operato proprio dal gruppo Alpha Team.
Contestualmente anche la pagina Instagram ufficiale di Federprivacy è risultata compromessa e l’ultimo post che al momento della stesura di questo articolo si può leggere, è quello dei criminali di Alpha Team, che rappresenta appunto l’hacking sul sito Web.
Non è tutto perché anche la pagina Linkedin ufficiale di Federprivacy è stata compromessa e sta diffondendo messaggi direttamente scritti dalla gang criminale, così come la pagina del suo presidente Nicola Bernardi.
Le cause che hanno permesso tutto ciò non sono ancora note con certezza, anche perché Federprivacy non ha ancora emesso alcun comunicato sull’accaduto con i social che sembrano ancora non esser stati compromessi (Facebook e X -Twitter).
Tuttavia è possibile fare dei ragionamenti sui fatti visibili. Come sempre prima di scrivere, ho riunito un po’ di idee, anche differenti dalle prime che mi son fatto io stesso.
— ωєвмαякєтнιик (@WebMarkeThink) November 13, 2023Dario magari sbaglio ma credo sia andata in questo modo:
– accesso su device presidente
– mail o txt con password beccate
– accesso su portale registrar e dump del db
– defacing di tutto quello che han trovato
La prima in assoluto arriva proprio dall’utente WebMarkeThink che assume tutto possa esser partito proprio dalla compromissione di un account (mail o device) del presidente di Federprivacy. Da qui è plausibile si siano trovate le credenziali di accesso direttamente all’hosting per operare tutti i danni che abbiamo appena visto.
Io inizialmente mi sono concentrato solamente sul CRM, una versione di Joomla. Questo perché un deface spesso è operato dallo sfruttamento di una grave vulnerabilità. Effettivamente evidenzio che questo CRM, fino al 2 novembre 2023, riporta con se alcuni plugin con versioni non aggiornate ormai obsolete che, ovviamente, riportano un grande numero di vulnerabilità.
Qualsiasi sia stata la porta di ingresso, il risultato, oltre che reputazionale, ha permesso anche l’estrazione di grandi quantità di dati interni all’organizzazione e agli utenti iscritti che vi confluiscono. E’ presente infatti un dump del database completo, nomi utenti, email e password.
Federprivacy.org host: Aruba
Il plugin sopra evidenziato, attualmente è disponibile nella versione 4.2.
Alpha Team: ospita le proprie immagini sul dominio images4.alphacoders.com, che sembra esistere da almeno 3 anni, ora operante sotto Cloudflare.