Con l’evidenza che anche Federprivacy, l’associazione che rappresenta i professionisti della protezione dei dati, è caduta vittima dei cybercriminali di Alpha Team, si apre un vaso di pandora sulla gestione degli assets digitali a tutti i livelli. Questa cybergang, ha ora messo nel mirino l’organizzazione che si propone di difendere la sicurezza dei dati.
Aggiornamento 17/11/2023
Federprivacy dirama il primo comunicato sulla vicenda dividendo l’accaduto concettualmente come segue:
- l’attacco è partito dall’account social del Presidente;
- siamo una no profit e quindi non possiamo permetterci attività IT;
- per il portale è colpa del CMS Joomla (che però non era adeguatamente aggiornato!);
- i dati rubati non sono di grande valore sensibile;
- l’associazione non si rimprovera niente della propria gestione IT.
Cosa è successo a Federprivacy
A partire da questa mattina, il sito Web dell’organizzazione italiana sulla privacy, è stato deturpato, rendendolo indisponibile e facendo apparire come homepage la rivendicazione criminale dell’attacco, operato proprio dal gruppo Alpha Team.
Contestualmente anche la pagina Instagram ufficiale di Federprivacy è risultata compromessa e l’ultimo post che al momento della stesura di questo articolo si può leggere, è quello dei criminali di Alpha Team, che rappresenta appunto l’hacking sul sito Web.
Non è tutto perché anche la pagina Linkedin ufficiale di Federprivacy è stata compromessa e sta diffondendo messaggi direttamente scritti dalla gang criminale, così come la pagina del suo presidente Nicola Bernardi.
Come può essere successo?
Le cause che hanno permesso tutto ciò non sono ancora note con certezza, anche perché Federprivacy non ha ancora emesso alcun comunicato sull’accaduto con i social che sembrano ancora non esser stati compromessi (Facebook e X -Twitter).
Tuttavia è possibile fare dei ragionamenti sui fatti visibili. Come sempre prima di scrivere, ho riunito un po’ di idee, anche differenti dalle prime che mi son fatto io stesso.
La prima in assoluto arriva proprio dall’utente WebMarkeThink che assume tutto possa esser partito proprio dalla compromissione di un account (mail o device) del presidente di Federprivacy. Da qui è plausibile si siano trovate le credenziali di accesso direttamente all’hosting per operare tutti i danni che abbiamo appena visto.
Io inizialmente mi sono concentrato solamente sul CRM, una versione di Joomla. Questo perché un deface spesso è operato dallo sfruttamento di una grave vulnerabilità. Effettivamente evidenzio che questo CRM, fino al 2 novembre 2023, riporta con se alcuni plugin con versioni non aggiornate ormai obsolete che, ovviamente, riportano un grande numero di vulnerabilità.
Qualsiasi sia stata la porta di ingresso, il risultato, oltre che reputazionale, ha permesso anche l’estrazione di grandi quantità di dati interni all’organizzazione e agli utenti iscritti che vi confluiscono. E’ presente infatti un dump del database completo, nomi utenti, email e password.
Alcuni dati aggiuntivi
Federprivacy.org host: Aruba
Il plugin sopra evidenziato, attualmente è disponibile nella versione 4.2.
Alpha Team: ospita le proprie immagini sul dominio images4.alphacoders.com, che sembra esistere da almeno 3 anni, ora operante sotto Cloudflare.