Il 12 giugno compare su un noto market del Dark Web un annuncio preoccupante: “vendesi i dati di 7,4 milioni di italiani“. A pubblicarlo è “l’hacker dei vaccini”, un tipo piuttosto sfuggente chiamato Mastiff, che con qualche difficoltà siamo riusciti a contattare e con il quale abbiamo scambiato un’interessante conversazione riguardo non soltanto il suo presunto hackeraggio, ma anche in merito allo stato dell’arte della sicurezza informatica, su quanti soldi si fanno vendendo dati trafugati, su come i media tradizionali affrontano il tema dei furti di dati e se lo Stato italiano si preoccupa di proteggere i dati dei suoi cittadini – piccolo indizio: non lo fa. Almeno secondo Mastiff.
Siete pronti per scoprire cosa ci ha raccontato l’hacker dei vaccini che starebbe vendendo 7,4 milioni di dati di italiani?
“IL VOSTRO GOVERNO SI PREOCCUPA POCO DEI VOSTRI DATI”
Il 12 giugno 2021 è una giornata intensa: il G7, l’evento che vede riunite le principali economie liberali del mondo, è in pieno svolgimento; si svolge la finale del Roland-Garros, uno dei più noti campionati di tennis del mondo; durante la partita Danimarca-Finlandia, valida per candidarsi al secondo girone degli Europei di calcio, il calciatore Eriksen ha un malore e si accascia in campo durante un’azione di gioco.
Tutti questi eventi contribuiscono a mettere in secondo piano l’annuncio, pubblicato su uno dei più frequentati forum del Dark Web, da parte di un utente che risponde al nome di Mastiff. Il testo dell’annuncio recita (il grassetto è nostro):
“Ho esfiltrato questi dati durante l’ultimo mese. Alcune delle vulnerabilità sono ancora aperte e non scoperte, ma non sono in vendita. Voci totali: 7.395.688. Queste voci includono nomi, indirizzi, numeri di telefono, codici fiscali, date di nascita e altre informazioni personali. Ci sono 6.583.199 indirizzi email unici (89%) e 5.324.895 password (72%), molte delle quali hashed. Non le sto vendendo, possiamo usare un intermediario una volta che si saranno verificati su RF/CTO/ecc [forum del Dark Web, ndr]. Fornirò campioni di dati con password privatamente, non voglio che vengano inquinati senza controllo. Venderò il database solo due volte. Se non vi rispondo, è perché sto già trattando con qualcun altro. Per favore non chiedetemi a proposito di altri Paesi, ho altri dati, ma questo è il database più ampio di tutti.“

Diverse testate che hanno coperto la notizia, inclusa Italian Tech, hanno confermato la bontà dei dati forniti come esempio dall’hacker a chi ne faceva richiesta. Ma da dove vengono? In un primo momento si era parlato di un archivio di dati relativi alle vaccinazioni, vista la dicitura “positivo” all’interno dei campioni controllati; ulteriori indagini hanno ricondotto i dati all’Ordine degli Psicologi, che tuttavia ha negato che sia stato notato un attacco informatico alle proprie strutture nelle ultime ore.
Dato nell’annuncio è presente un contatto Telegram, decidiamo di approcciare Mastiff con un messaggio privato. Ci presentiamo, avanzando la richiesta di un’intervista, avendo premura di specificare che AppElmo.com è web magazine indipendente: dato che Mastiff aveva già rifiutato di parlare con giornali nazionali come Open e Repubblica, può darsi che la nostra natura “indie” possa ben predisporlo. Il primo impatto non è incoraggiante: l’hacker dei vaccini ci risponde che sì, possiamo fargli delle domande, ma che non assicura né che risponderà in maniera completa né che risponderà del tutto, dato che “non ci guadagnerebbe nulla dalla copertura mediatica“.
Ad ogni modo gli avanziamo le nostre domande, la prima delle quali è ovviamente: da dove vengono questi dati? “È una domanda che mi fanno spesso anche i miei compratori” dice; “questo dataset non proviene da un singolo database, abbiamo [notare il plurale: è probabile che non abbia lavorato da solo] aggregato varie esfiltrazioni di dati (inclusi servizi sanitari), ed è per questo che gli algoritmi di hashing delle password così come le colonne stesse differiscono da file a file“.
Ma quanto pensi che ti farà guadagnare questo database? Sette milioni e mezzo di dati personali sono tanti, e ci aspettavamo una bella cifra. Mastiff spegne i nostri “entusiasmi”: “Può valere duemila [dollari] così come decine di migliaia [di dollari]; negozio io il prezzo con i miei compratori. Non lo rendo noto pubblicamente perché non sono troppo a mio agio con l’idea di avere persone che monitorano le fasi di vendita“. Sì ma nello specifico? Quanti soldi ricaverai da questa vendita, idealmente? “Generalmente, un data breach su Empire Market [noto mercato nero del Dark Web, chiuso dalla polizia nel 2020, ndr] andava a una media di 5.000$ in criptovalute.” Come mai così poco? “Il fatto che questo dataset non contenga credenziali bancarie abbassa significativamente il prezzo.“
E quindi cosa se ne faranno gli eventuali compratori di un simile database? “Phishing, spamming, social engineering, furto di credenziali d’accesso [credential stuffing, ndr].“
Veniamo colpiti da una frase particolare dell’annuncio – ossia, che il database non sarà venduto più di due volte. Perché? Quando abbiamo parlato con il venditore del data breach di ho. Mobile, ci venne spiegato che più un dato viene venduto, più il suo prezzo cala. È questo il caso? “Non voglio che i dati circolino troppo in giro“, dice Mastiff. “Vendendolo solo due volte, abbasso il rischio che venga divulgato pubblicamente.” L’hacker dei vaccini aggiunge poi di aver preso precauzioni tali da riuscire a rintracciare il responsabile di un’eventuale diffusione pubblica dei dati.
Questo per quanto riguarda il database in vendita. Parliamo invece dell’anonimo black hat che si nasconde dietro il soprannome di Mastiff. Immaginiamo una persona che corre il rischio di essere catturata dalle forze dell’ordine – la vendita di dati rubati è un reato, ovviamente – per una cifra tutto sommato bassa. Inizialmente Mastiff è restio a rispondere a domande su di sé: il nostro hacker dei vaccini teme di essere identificato. Declina un paio di domande – del tipo: non hai paura di essere catturato? – e da lì temiamo che non voglia più parlare con noi. In realtà bastava porre le domande giuste.
Mastiff ha infatti molto da dire in merito a come questi dati vengono protetti e cosa fanno i governi per proteggerli. Riportiamo di seguito un suo interessante intervento su come questi furti informatici vengono diffusi online:
“I database vengono diffusi continuamente, ma le persone vengono a saperlo tramite giornalisti che spammano F5 [no, non è una citazione da Boris: F5 è il tasto di refresh del browser, ndr] sulle loro tastiere nelle sezioni Leaks Market e Database di RaidForums [forum del Dark Web], e probabilmente questo è il massimo dello sforzo che molti giornalisti fanno quando investigano sui furti di dati.
Le persone fanno in fretta a indignarsi quando furti di dati del genere avvengono, ma non è forse colpa delle aziende che non si preoccupano minimamente dei loro clienti perché hanno in mente solo il profitto? I dati personali vengono venduti continuamente; i giganti della tecnologia guadagnano decine di migliaia di volte più di me, che vendo qualche file di testo a due sconosciuti. Se una compagnia che viola la privacy dei suoi utenti e che gestisce in maniera scadente i loro dati riceve una multa pari a solo lo 0,00001% del suo fatturato, allora penso dovrei ricevere lo stesso trattamento.“
L’hacker dei vaccini fa un ragionamento sì auto-assolutorio, ma con un fondo di verità. Non solo la sicurezza informatica è una tematica spesso trattata superficialmente dai media generalisti – che sono le fonti che la maggioranza delle persone consultano; ma le stesse aziende che si occupano di proteggere quei dati e salvaguardare la privacy dei cittadini sono negligenti dei loro doveri. Recentemente nell’Unione Europea si è tentato di imporre ai colossi della tecnologia una forma di regolamentazione dei furti di dati: il GDPR, il regolamento per la privacy europeo introdotto nel 2018, impone che ogni furto sia segnalato dalle aziende entro 72 ore dalla loro scoperta, pena il pagamento del 4% del fatturato. Tuttavia molti reputano che il GDPR sia debole proprio dove dovrebbe essere forte – l’attività di giudizio e condanna delle aziende tecnologiche.
Your weekly #DPCfail: The @DPCIreland is appealing a CCTV case today – NOT against the controller, but against the data subject, who won at the Irish High Court.. ?#TaxpayerMoneyWillSpent #GDPR
Background of the (won) case that is under appeal today: https://t.co/f6ixS2RBTt
— Max Schrems ?? (@maxschrems) June 15, 2021
L’Irish Data Protection Commission è l’autorità che dovrebbe occuparsi di multare le aziende che non si comportano secondo le regole, ma negli ultimi anni ha fatto molto meno di quanto molti si aspettavano. Max Schrems, noto attivista austriaco per i diritti digitali, ha definito “kafkiano” l’approccio irlandese alla protezione della privacy; qualora lo stato delle cose attuale dovesse perdurare, è possibile che l’Unione Europea sottragga la sede della Commissione all’Irlanda per assegnarla a un altro Paese.
Ma se il colpevole è un Paese? Chiediamo infatti a Mastiff se la facilità con cui i dati vengono sottratti sia per colpa delle difese, poco adeguate, o delle capacità di attacco degli hacker. “Era solo questione di tempo“, afferma, “se non fossi stato io, sarebbe stato qualcun altro“. “Il prelievo dei dati non è stato per nulla raffinato, e mi chiedo se gli obiettivi dovrebbero essere considerati responsabili per aver trattato i dati dei propri clienti con così poca cura […] Mi è stato detto che è meglio prevenire che curare, ma non sembra che le cose funzionino così.“
Quindi è colpa dello Stato italiano se i dati sono stati diffusi? “Non so se il vostro governo sia completamente responsabile di questo data breach, sicuramente ha dimostrato di tenerci ben poco alla sicurezza dei dati dei suoi cittadini.“
Vorremmo porgli altre domande, ma l’hacker dei vaccini ha già eliminato la cronologia della nostra conversazione e cancellato il suo account. Il suo username non esiste più. Che abbia già venduto il suo database? Probabile, e con lui anche la privacy di 7,5 milioni di italiani.
Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!
Se non volete perdervi nè le prossime News nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).
Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter e sul nostro canale Telegram! Grazie mille!