Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Scimpanzè informatico italiano

900.000 dati di accesso di italiani venduti nel market cinese Cabyc Market. E con che password!

Davide Santoro : 17 Gennaio 2024 07:15

All’interno del principale market cinese nel darkweb conosciuto come Cabyc Market vengono venduti 900.000 dati di accesso italiani(email e password). Ma andiamo ad approfondire meglio il market, cosa vende e, soprattutto, i nostri dati in mani poco rassicuranti…

Possiamo renderci immediatamente conto come il market sia un luogo aperto dove singoli venditori possono pubblicare i propri annunci così da vendere i propri “prodotti”.

La vendita di dati

Al primo posto figura la vendita di dati, dati sottratti ad aziende, società, paesi che possono essere utilizzati sia come accesso iniziale e sia come studio ed analisi della corrispondenza. Così da scalare verso nuovi mittenti e nuovi destinatari (magari più appetibili) le proprie azioni criminali.

Sponsorizza la prossima Red Hot Cyber Conference!

Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference
Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. 
Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. 
Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.



Supporta RHC attraverso:
 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

Ovviamente ci siamo concentrati sulla vendita di dati italiani, lo abbiamo ripetuto più e più volte ma è sempre bene ricordarlo. I dati una volta finiti in Rete sono persi per sempre e, spesso, possono essere un canale di accesso per programmare attacchi ransomware, spionaggio industriale, furti d’identità (purtroppo sempre più frequentemente con tutte le conseguenze legali del caso), ingegneria sociale sui soggetti così da tracciarne un profilo via via più dettagliato, campagne di phishing e molto altro.

All’interno del market è presente un annuncio, datato 31-12-2023, tramite il quale è possibile acquistare 900.000 dati di account italiani, vediamo l’annuncio ed il relativo screen:

L’annuncio è estremamente chiaro, è prevista la vendita di 900.000 dati di accesso italiani per 49$ pagabili nelle seguenti criptovalute: ETH, BTC, USDT-ERC20, USDT-TRC20 e l’invio del file contenente i dati all’acquirente avverrà tramite la piattaforma Mega, ovviamente assolutamente incolpevole.

Cosa contengono i dati in vendita nel market cinese

Entriamo ora nel vivo della questione ed andiamo ad analizzare il sample messo dal venditore opportunamente editato lasciando visibile il dato che ci interessa davvero, ovvero le password:

Eccoci arrivati al vero tasto “dolente, all’eterno dolore”, ovvero le password utilizzate per gli account e come queste siano assolutamente errate, inefficienti e soffrano della vecchia malattia italiana di dover mettere password che si possano ricordare a memoria o, quantomeno, facilmente trascrivibili su post-it, fogli di carta ecc…

Ma se queste password sono totalmente errate, come dovrebbe essere una password?

Se è troppo complessa, poi come faccio a ricordarmela? Io utilizzo diversi account e, quindi, diverse password (non farete mica password re-use, vero?), sicuramente mi confonderò e non riuscirò più a ricordarmi le password dei vari account, ma è davvero così? O, meglio, come fanno le persone “skillate” a ricordarsi le password?

KeePass – Il gestore delle password

Se siete arrivati fino a qui avete già capito che è ora di buttare post-it, fogli A4, agende con password segnate in punti sconosciuti e di passare ad uno strumento semplice, intuitivo, gratuito ma soprattutto sicuro per memorizzare le nostre password (e generarne di nuove, come vedremo in seguito)

Schermata di KeePass, un password manager che consente di salvare le proprie password suddividendole per categorie, queste che vediamo nello screen sono quelle di default ma ovviamente è possibile crearne delle altre così da organizzare al meglio le proprie password, andiamo a creare una entry con una password:

Questa è la schermata che ci apparirà quando andremo a creare la entry che ci interessa, ovviamente ho reso la password visibile(con le impostazioni di default che dopo modificheremo) per darvi un’idea di quello di cui stiamo parlando, la password che Keepass genera di default è una password ovviamente alfanumerica di 20 caratteri(quindi nulla a che vedere con le password che abbiamo visto sopra), ora però divertiamoci un po’ a modificare le impostazioni del “password generator” cliccando sulla chiave sotto ai tre puntini ed andando ad impostare la password da generare con i criteri che vogliamo:

Questa sarà la schermata che vedremo:

Lasciamo per buona la lunghezza ed andiamo a selezionare le seguenti voci: “Minus, Underline, Special, Brackets”:

A questo punto alla voce “Profile” vedremo la dicitura “Custom”, andiamo a cliccare sul dischetto con la matita ed a salvare questo nuovo profilo, a questo punto clicchiamo su “OK” per chiudere la finestra in questione e vedremo una finestra simile:

Come possiamo vedere la nuova password rispetta il profilo da noi precedentemente indicato, è uscita una password molto robusta che non ha niente a che vedere con le password che abbiamo visto all’inizio dell’articolo, che ovviamente è impossibile da ricordare e che andremo quindi a salvare cliccando “OK”

Eco qui la entry del nostro test salvata correttamente

Cliccando con il tasto destro è possibile fare varie azioni, tra le quali copiare la password ed eccola qui:

p7@y]pF:ZqE”0C6SuJL]

Questo è – ovviamente a grandi linee ed ad un livello molto basico – l’utilizzo del KeePass, il password manager che ci accompagna nella gestione e nella creazione di password complesse per i nostri account.

Le password sono complesse, ma sono sicure? Come faccio a vedere la sicurezza di una password?

Esistono vari siti che permettono di verificare la sicurezza di una password, uno dei più utilizzati si chiama proprio “How Secure Is My Password” gestito da security.org, andiamo a vederlo insieme facendo due test, il primo con una delle password in vendita nel market cinese ed il secondo con la password che abbiamo creato poco fa.

Tra le password in vendita ho scelto “forzanapoli” ottenendo un risultato assai deludente ed ampiamente previsto, in pratica avere un account con una password del genere è un invito a farsi bucare ma, a differenza di una password seria, non è una sfida, è proprio un modo per mandare un messaggio tipo “Ehi sono qui e sono pronto ad essere bucato, non mi interessa nulla se i miei account vengono compromessi, anzi vi lascio la porta aperta e vi invito ad entrare”.

Andiamo ora a vedere la password che abbiamo creato poco fa, vediamo quanto tempo impiegherebbe un computer a craccare la nostra password:

Ecco che per bucare la password che abbiamo creato poco fa con Kee Pass un computer impiegherebbe 3 sestilioni di anni, orientativamente un numero così:

3.000.000.000.000.000.000.000 di anni

Direi che gli screen parlino da soli e non servano ulteriori commenti in merito al grado di sicurezza delle due password

Davide Santoro
Da sempre patito di sicurezza informatica e geopolitica cerca da sempre di unire queste due passioni, ultimamente ho trovato soddisfazione nell’analisi dei gruppi ransomware, si occupa principalmente di crittografia ed è un sostenitore del software libero.

Lista degli articoli

Articoli in evidenza

Addio star di carne e ossa? Arriva Tilly Norwood, la prima attrice AI!
Di Redazione RHC - 30/09/2025

In un settore un tempo dominato da star dal vivo, i personaggi digitali si stanno facendo sempre più strada. Durante un summit a Zurigo, Ellin van der Velden, attrice, comica e tecnologa, ha annuncia...

Da user a root in un secondo! il CISA avverte: milioni di OS a rischio. Patchate!
Di Redazione RHC - 30/09/2025

La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto una vulnerabilità critica nella popolare utility Sudo, utilizzata su sistemi Linux e Unix-like, al suo catalog...

Gestione della crisi digitale: la comunicazione è la chiave tra successo o fallimento
Di Redazione RHC - 30/09/2025

Negli ultimi anni gli attacchi informatici sono diventati una delle principali minacce per le aziende, indipendentemente dal settore. Se i reparti tecnici si concentrano sulla risoluzione dei problemi...

Un’estensione barzelletta e cade Chat Control! Houston, abbiamo un problema… di privacy
Di Sergio Corpettini - 30/09/2025

Nel 2025 l’Unione Europea vuole avere il controllo totale sulle chat private. Il Regolamento “Chat Control” (proposta COM(2022)209) promette di combattere la pornografia minorile con la scansion...

0-day 0-click su WhatsApp! un’immagine basta per prendere il controllo del tuo iPhone
Di Redazione RHC - 29/09/2025

Qualche produttore di spyware starà probabilmente facendo ginnastica… strappandosi i capelli. Ma ormai è il solito teatrino: c’è chi trova, chi incassa, chi integra e poi arriva il ricercatore ...