Connect with us

Sicurezza Informatica

Europol è stata hackerata da IntelBroker

Tempo di lettura: 2 minuti. Europol conferma la violazione del portale EPE, ma rassicura che nessun dato operativo è stato compromesso. Indagini in corso.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Europol ha confermato che il suo portale Europol Platform for Experts (EPE) è stato compromesso da IntelBroker. La violazione è emersa dopo che un attore di minacce ha affermato di aver rubato documenti classificati come “For Official Use Only” che contenevano dati riservati. Europol ha avviato un’indagine per valutare l’entità della violazione e ha già intrapreso azioni immediate.

Dettagli sulla Sicurezza di EPE

Il portale EPE è una piattaforma online utilizzata dagli esperti delle forze dell’ordine per condividere conoscenze, migliori pratiche e dati non personali relativi alla criminalità. Europol ha rassicurato che “nessuna informazione operativa è processata su questa applicazione EPE” e che “nessun sistema core di Europol è stato interessato”, quindi nessun dato operativo di Europol è stato compromesso.

Contesto della Violazione

In aggiunta al recente attacco, Europol ha subito altre fughe di dati nel passato. Prima di settembre 2023, sono stati persi i registri del personale cartaceo di Catherine De Bolle, direttore esecutivo di Europol, e di altri funzionari di alto livello dell’agenzia. Questi incidenti hanno sollevato preoccupazioni sulla sicurezza e la gestione dei dati personali all’interno dell’agenzia.

Chi è IntelBroker?

IntelBroker, l’attore di minacce dietro le affermazioni di violazione dei dati, descrive i file come FOUO e contenenti dati classificati. Ha anche affermato di aver compromesso la piattaforma SIRIUS, utilizzata dalle autorità giudiziarie e di polizia di 47 paesi, inclusi gli Stati membri dell’UE, il Regno Unito e i paesi con accordo di cooperazione con Eurojust e la Procura Europea.

Impatto e reazioni

La violazione ha portato Europol a porre offline il sito web dell’EPE per manutenzione, mentre viene condotta un’analisi forense. Nonostante la rassicurazione che nessun dato operativo sia stato rubato, il caso solleva questioni sulla sicurezza delle informazioni sensibili gestite da agenzie di applicazione della legge.

Mentre Europol valuta il danno e cerca di mitigare qualsiasi impatto, questo incidente realizzato da IntelBroker evidenzia la continua minaccia e la complessità di proteggere le informazioni sensibili contro attori di minacce sempre più sofisticati. La situazione richiede una vigilanza costante e miglioramenti continui nei protocolli di sicurezza.

Sicurezza Informatica

Violazione dei Dati di AT&T: Compromessi i dati di tutti i Clienti

Tempo di lettura: 2 minuti. Violazione dei dati di AT&T che ha compromesso i registri telefonici di oltre 100 milioni di clienti e le implicazioni per la sicurezza.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Recentemente, AT&T ha subito una grave violazione dei dati che ha compromesso i registri telefonici di oltre 100 milioni di clienti. Questo articolo esamina i dettagli della violazione, le implicazioni per i clienti e le misure adottate dalla società per affrontare la situazione.

Dettagli della violazione

Nel 2022, hacker hanno rubato i registri telefonici di oltre 100 milioni di clienti AT&T, includendo dati come:

  • Numeri di telefono
  • Conteggi di chiamate e SMS
  • Durata delle chiamate
  • Identificatori dei siti cellulari

Tempistiche e indagini

AT&T ha riferito la violazione alla U.S. Securities and Exchange Commission (SEC) e ha collaborato con le forze dell’ordine, portando all’arresto di un sospettato. La violazione ha interessato i dati delle chiamate e degli SMS dal 1 maggio 2022 al 31 ottobre 2022, con un’altra violazione minore il 2 gennaio 2023.

Estensione dell’impatto

La violazione ha coinvolto anche i clienti di altre reti che utilizzano l’infrastruttura di AT&T, come Cricket Wireless, Boost Mobile e Consumer Cellular. AT&T ha annunciato che contatterà tutti i 110 milioni di clienti interessati per informarli della violazione.

Origine della violazione

Un portavoce di AT&T ha confermato che la violazione è stata causata da un account compromesso su Snowflake, una piattaforma cloud di terze parti. Incidenti simili sono stati osservati anche in Ticketmaster e QuoteWizard, anch’essi legati a Snowflake. La mancanza di autenticazione a più fattori sull’account AT&T ha permesso agli hacker di accedere ai dati.

Implicazioni e risposte

Motivazioni e utilizzo dei dati

Gli esperti di cybersecurity di Mandiant attribuiscono la violazione al gruppo criminale UNC5537, con una probabile motivazione finanziaria. Sebbene gli hacker non abbiano avuto accesso ai contenuti delle chiamate e dei messaggi o a informazioni personali come nomi, numeri di sicurezza sociale o date di nascita, i dati rubati potrebbero comunque essere utilizzati per frodi.

Ritardi nella comunicazione

Un aspetto controverso di questa violazione è stato il ritardo nella comunicazione al pubblico. AT&T era a conoscenza della violazione ad aprile ma ha rinviato l’annuncio due volte, in accordo con l’FBI e il Dipartimento di Giustizia, per motivi di sicurezza nazionale e pubblica. Questo ritardo solleva domande sulla trasparenza e sulla gestione delle informazioni sensibili.

Misure di sicurezza aggiuntive

AT&T ha creato un sito web dedicato per fornire risposte e informazioni sull’accaduto. La società ha sottolineato la necessità di migliorare la sicurezza informatica, in particolare l’implementazione dell’autenticazione a più fattori, sia per i clienti che per i fornitori.

Questa recente violazione dei dati rappresenta un ulteriore colpo per gli sforzi di sicurezza informatica di AT&T, arrivando poco dopo una precedente perdita che ha interessato oltre 70 milioni di clienti. Sebbene AT&T affermi che gli incidenti non siano correlati, queste violazioni consecutive sollevano serie preoccupazioni sulla strategia di sicurezza dei dati dell’azienda e sulla sua capacità di proteggere le informazioni dei clienti.

Prosegui la lettura

Sicurezza Informatica

Vulnerabilità in Modern Events Calendar: migliaia di WordPress a rischio

Tempo di lettura: 2 minuti. Vulnerabilità critica nel plugin Modern Events Calendar consente il caricamento arbitrario di file da parte di utenti autenticati

Pubblicato

in data

Tempo di lettura: 2 minuti.

Una vulnerabilità critica è stata identificata nel plugin WordPress Modern Events Calendar, che consente a utenti autenticati con ruolo di Subscriber o superiore di caricare file arbitrari. Questa falla di sicurezza è presente nelle versioni fino alla 7.11.0 e può essere sfruttata per compromettere il sito web.

Dettagli della vulnerabilità

ID della Vulnerabilità

  • CVE ID: Non specificato
  • Tipo di Vulnerabilità: Caricamento Arbitrario di File
  • Livello di Gravità: Critico
  • Versioni Interessate: Modern Events Calendar fino alla versione 7.11.0

Descrizione

La vulnerabilità consente a un utente autenticato con privilegi di Subscriber o superiori di caricare file arbitrari sul server. Questo può includere file eseguibili, come script PHP, che possono essere utilizzati per ottenere l’accesso completo al server web. Il caricamento di file arbitrari è possibile a causa di una verifica insufficiente dei file caricati, permettendo agli attaccanti di bypassare le restrizioni di caricamento.

Impatti potenziali

L’exploit di questa vulnerabilità può portare a vari problemi di sicurezza, tra cui:

  • Esecuzione di Codice Remoto: Gli attaccanti possono caricare ed eseguire script dannosi sul server.
  • Compromissione del Server: Accesso non autorizzato ai dati sensibili memorizzati sul server.
  • Defacement del Sito: Modifica non autorizzata del contenuto del sito web.
  • Distribuzione di Malware: Utilizzo del server compromesso per distribuire malware agli utenti del sito.

Soluzioni e Mitigazioni

Aggiornamento del Plugin

Gli sviluppatori di Modern Events Calendar hanno rilasciato una patch per questa vulnerabilità nella versione 7.11.1. Gli amministratori di siti web dovrebbero aggiornare immediatamente il plugin all’ultima versione disponibile per mitigare questo rischio.

Misure di Sicurezza Aggiuntive

  • Controllo dei File Caricati: Implementare controlli rigorosi sui tipi di file che possono essere caricati e verificare che solo i file con estensioni sicure siano accettati.
  • Limitare i Permessi: Ridurre i permessi degli utenti, assicurandosi che solo gli utenti strettamente necessari abbiano accesso ai ruoli con privilegi di caricamento.
  • Monitoraggio del Sistema: Utilizzare strumenti di monitoraggio per rilevare attività sospette o anomale sul server.
  • Backup Regolari: Mantenere backup regolari del sito web per garantire il ripristino rapido in caso di compromissione.

La vulnerabilità nel plugin Modern Events Calendar rappresenta un rischio significativo per i siti web che utilizzano versioni non aggiornate del plugin. È fondamentale che gli amministratori di siti web aggiornino immediatamente alla versione 7.11.1 o superiore e implementino misure di sicurezza aggiuntive per proteggere i loro sistemi.

Link all’articolo completo su Wordfence

Prosegui la lettura

Sicurezza Informatica

Attacco RADIUS: panoramica dettagliata

Tempo di lettura: 3 minuti. Il protocollo RADIUS può essere compromesso utilizzando tecniche avanzate di collisione MD5 per eseguire attacchi di autenticazione stealth

Pubblicato

in data

Tempo di lettura: 3 minuti.

Il protocollo RADIUS (Remote Authentication Dial-In User Service) è fondamentale per l’infrastruttura di rete moderna ed un attacco inciderebbe molto su scala globale. Sebbene progettato nel 1991, rimane lo standard de facto per l’autenticazione leggera utilizzata per l’accesso remoto a dispositivi di rete. RADIUS è supportato da quasi tutti i prodotti di switch, router, access point e concentratori VPN venduti negli ultimi venti anni.

Meccanismo del Protocollo RADIUS

In RADIUS, un NAS (Network Access Server) funge da client che verifica le credenziali dell’utente finale tramite richieste RADIUS a un server centrale. Il client RADIUS e il server condividono un segreto fisso. Il server risponde con un messaggio di accettazione o rifiuto (Access-Accept o Access-Reject).

Le richieste e le risposte possono contenere campi etichettati chiamati “attributi” che specificano vari parametri, come nome utente e password nella richiesta o accesso alla rete nella risposta. I pacchetti di richiesta includono un valore chiamato Request Authenticator, essenzialmente un nonce casuale, mentre i pacchetti di risposta includono un valore chiamato Response Authenticator, che dovrebbe proteggere l’integrità delle risposte del server.

Vulnerabilità di RADIUS

Costruzione del Response Authenticator

Il Response Authenticator viene calcolato come segue: MD5(Code∣∣ID∣∣Length∣∣Request Authenticator∣∣Packet Attributes∣∣Shared Secret)\text{MD5}(\text{Code} || \text{ID} || \text{Length} || \text{Request Authenticator} || \text{Packet Attributes} || \text{Shared Secret})MD5(Code∣∣ID∣∣Length∣∣Request Authenticator∣∣Packet Attributes∣∣Shared Secret) Dove:

  • ID e Request Authenticator sono valori casuali nella richiesta.
  • Code, Length, e Packet Attributes sono valori nella risposta del server.
  • Shared Secret è il segreto condiviso tra client e server, sconosciuto all’attaccante.

Attacco contro RADIUS

L’attacco permette a un uomo nel mezzo tra il client e il server RADIUS di falsificare una risposta Access-Accept valida a una richiesta di autenticazione fallita. L’attaccante inietta un attributo Proxy-State malevolo in una richiesta client valida. Questo attributo viene garantito di essere restituito dal server nella risposta. L’attaccante costruisce il Proxy-State in modo che i valori Response Authenticator tra la risposta valida e quella che l’attaccante vuole falsificare siano identici. Questo inganno fa sì che il NAS conceda all’attaccante l’accesso ai dispositivi e servizi di rete senza dover indovinare o forzare le password o i segreti condivisi.

Passaggi dell’Attacco

  1. L’attaccante inserisce il nome utente di un utente privilegiato e una password arbitrariamente errata.
  2. Questo causa al client RADIUS di un dispositivo di rete vittima di generare una richiesta Access-Request, che include un valore casuale di 16 byte chiamato Request Authenticator.
  3. L’attaccante intercetta questa richiesta e utilizza l’Access-Request per prevedere il formato della risposta del server (che sarà un Access-Reject poiché la password inserita è errata). L’attaccante quindi calcola una collisione MD5 tra l’Access-Reject previsto e una risposta Access-Accept che desidera falsificare.
  4. Dopo aver calcolato la collisione, l’attaccante aggiunge RejectGibberish al pacchetto Access-Request, mascherato come attributo Proxy-State.
  5. Il server che riceve questa richiesta modificata verifica la password dell’utente, decide di rifiutare la richiesta e risponde con un pacchetto Access-Reject, includendo l’attributo Proxy-State.
  6. L’attaccante intercetta questa risposta e verifica che il formato del pacchetto corrisponda al modello previsto. Se sì, l’attaccante sostituisce la risposta con Access-Accept e AcceptGibberish e la invia con l’Response Authenticator non modificato al client.
  7. A causa della collisione MD5, l’Access-Accept inviato dall’attaccante viene verificato con l’Response Authenticator, inducendo il client RADIUS a credere che il server abbia approvato la richiesta di login e concedendo l’accesso all’attaccante.

Questa descrizione è semplificata. In particolare, è stato necessario un lavoro crittografico per dividere il gibberish della collisione MD5 tra più attributi Proxy-State formattati correttamente e ottimizzare e parallelizzare l’attacco di collisione MD5 per eseguire in minuti invece che ore.

Per una descrizione completa, si prega di leggere il paper.

Prosegui la lettura

Facebook

CYBERSECURITY

Sicurezza Informatica1 giorno fa

Vulnerabilità in Modern Events Calendar: migliaia di WordPress a rischio

Tempo di lettura: 2 minuti. Vulnerabilità critica nel plugin Modern Events Calendar consente il caricamento arbitrario di file da parte...

Sicurezza Informatica1 giorno fa

Attacco RADIUS: panoramica dettagliata

Tempo di lettura: 3 minuti. Il protocollo RADIUS può essere compromesso utilizzando tecniche avanzate di collisione MD5 per eseguire attacchi...

Sicurezza Informatica1 giorno fa

ViperSoftX sfrutta AutoIt e CLR per l’esecuzione Stealth di PowerShell

Tempo di lettura: 3 minuti. ViperSoftX utilizza AutoIt e CLR per eseguire comandi PowerShell in modo stealth, eludendo i meccanismi...

Sicurezza Informatica1 giorno fa

Malware Poco RAT mira vittime di lingua spagnola

Tempo di lettura: 3 minuti. Poco RAT, nuovo malware che prende di mira le vittime di lingua spagnola con campagne...

Microsoft teams Microsoft teams
Sicurezza Informatica2 giorni fa

Falso Microsoft Teams per Mac distribuisce Atomic Stealer

Tempo di lettura: 2 minuti. Un falso Microsoft Teams per Mac distribuisce il malware Atomic Stealer tramite una campagna di...

CISA logo CISA logo
Sicurezza Informatica2 giorni fa

CISA hackera Agenzia Federale USA: vulnerabilità critiche Svelate

Tempo di lettura: 2 minuti. CISA svela vulnerabilità critiche in un'agenzia federale USA attraverso un'esercitazione di red team SILENTSHIELD

Sicurezza Informatica2 giorni fa

DarkGate usa file Excel per diffondere malware

Tempo di lettura: 3 minuti. DarkGate utilizza file Excel per diffondere malware sofisticato. Scopri come funziona questa minaccia e come...

Sicurezza Informatica3 giorni fa

SSH sotto attacco a causa di bug e vulnerabilità

Tempo di lettura: 3 minuti. Scopri le nuove minacce di CRYSTALRAY e la vulnerabilità di OpenSSH in RHEL 9. Approfondisci...

Sicurezza Informatica3 giorni fa

CoreTech: accordo con TuxCare migliora sicurezza negli ambienti Linux

Tempo di lettura: 2 minuti. L'accordo migliora lo standard qualitativo dell'offerta Linux per quel che concerne la risposta alle vulnerabilità

CISA logo CISA logo
Sicurezza Informatica5 giorni fa

CISA aggiornamenti per Citrix, Adobe, ICS e vulnerabilità sfruttate

Tempo di lettura: 3 minuti. CISA rilascia aggiornamenti per Citrix e Adobe e sette consigli per i sistemi di controllo...

Truffe recenti

Inchieste6 giorni fa

Idealong.com chiuso, ma attenti a marketideal.xyz e bol-it.com

Tempo di lettura: 2 minuti. Dopo aver svelato la truffa Idealong, abbiamo scoperto altri link che ospitano offerte di lavoro...

Inchieste1 settimana fa

Idealong.com spilla soldi ed assolda lavoratori per recensioni false

Tempo di lettura: 4 minuti. Il metodo Idealong ha sostituito Mazarsiu e, dalle segnalazioni dei clienti, la truffa agisce su...

Sicurezza Informatica2 settimane fa

Truffa lavoro online: Mazarsiu sparito, attenti a idealong.com

Tempo di lettura: 2 minuti. Dopo il sito Mazarsiu, abbandonato dai criminali dopo le inchieste di Matrice Digitale, emerge un...

fbi fbi
Sicurezza Informatica1 mese fa

FBI legge Matrice Digitale? Avviso sulle truffe di lavoro Online

Tempo di lettura: 2 minuti. L'FBI segnala un aumento delle truffe lavoro da casa con pagamenti in criptovaluta, offrendo consigli...

Sicurezza Informatica1 mese fa

Milano: operazione “Trust”, frodi informatiche e riciclaggio di criptovaluta

Tempo di lettura: 2 minuti. Scoperta un'organizzazione criminale transnazionale specializzata in frodi informatiche e riciclaggio di criptovaluta nell'operazione "Trust"

Inchieste2 mesi fa

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che...

Inchieste2 mesi fa

Mazarsiu e Temunao: non solo truffa, ma un vero metodo

Tempo di lettura: 4 minuti. Le inchieste su Temunao e Marasiu hanno attivato tante segnalazioni alla redazione di persone che...

Pharmapiuit.com Pharmapiuit.com
Inchieste2 mesi fa

Pharmapiuit.com : sito truffa online dal 2023

Tempo di lettura: 2 minuti. Pharmapiuit.com è l'ultimo sito truffa ancora online di una serie di portali che promettono forti...

Temunao.Top Temunao.Top
Inchieste2 mesi fa

Temunao.Top: altro sito truffa che promette lavoro OnLine

Tempo di lettura: 2 minuti. Temunao.top è l'ennesimo sito web truffa che promette un premio finale a coloro che effettuano...

Inchieste2 mesi fa

Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco

Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la...

Tech

Tech10 ore fa

Galaxy Z Flip 6 migliora rispetto al 3 e Galaxy Buds 3 meglio del 2

Tempo di lettura: 3 minuti. Galaxy Z Flip 6 ha miglioramenti rispetto al Z Flip 3 ed il nuovo design...

Smartphone11 ore fa

OPPO F27 Pro Plus vs Poco F6: quale scegliere?

Tempo di lettura: 2 minuti. Confronta OPPO F27 Pro Plus e Poco F6: scopri quale smartphone offre migliori specifiche, design,...

Smartphone11 ore fa

Galaxy S25 Ultra e Samsung Exynos 2500: novità e anticipazioni

Tempo di lettura: 2 minuti. Novità sul Galaxy S25 Ultra e l'Exynos 2500 di Samsung, con miglioramenti nel design e...

Tech11 ore fa

Aggiornamenti Chrome: ultime novità per Android, iOS e Desktop

Tempo di lettura: 2 minuti. Scopri gli ultimi aggiornamenti di Chrome Dev e Beta per Android, iOS, ChromeOS e desktop,...

Smartphone11 ore fa

OPPO Reno 12 Pro vs OnePlus 12R: quale scegliere?

Tempo di lettura: 3 minuti. Confronta OPPO Reno 12 Pro 5G e OnePlus 12R 5G: scopri quale smartphone offre migliori...

Smartphone1 giorno fa

Nubia Z60 Ultra con Snapdragon 8 Gen 3 Leading Version in arrivo

Tempo di lettura: 2 minuti. Nubia Z60 Ultra con Snapdragon 8 Gen 3 Leading Version potente per prestazioni estreme: caratteristiche...

Smartphone1 giorno fa

Motorola Edge 50 Neo e Infinix Zero Flip: specifiche, colori e novità

Tempo di lettura: 2 minuti. Scopri le specifiche e i colori del Motorola Edge 50 Neo e dell'Infinix Zero Flip,...

Intelligenza Artificiale1 giorno fa

Goldman Sachs: Intelligenza Artificiale è troppo costosa e inaffidabile?

Tempo di lettura: 2 minuti. Opinioni contrastanti in Goldman Sachs sugli investimenti in AI, i loro costi elevati e l'affidabilità,...

Smartphone2 giorni fa

Redmi 13 5G vs Moto G64 5G: qual 5G economico scegliere?

Tempo di lettura: 3 minuti. Confronto tra Redmi 13 5G e Moto G64 5G: quale telefono 5G economico offre le...

Smartphone2 giorni fa

Redmi 13 5G vs Redmi 12 5G: conviene aggiornare?

Tempo di lettura: 3 minuti. Confronto tra Redmi 13 5G e Redmi 12 5G: scopri i miglioramenti del nuovo telefono...

Tendenza