Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Scimpanzè informatico italiano

900.000 dati di accesso di italiani venduti nel market cinese Cabyc Market. E con che password!

Davide Santoro : 17 Gennaio 2024 07:15

All’interno del principale market cinese nel darkweb conosciuto come Cabyc Market vengono venduti 900.000 dati di accesso italiani(email e password). Ma andiamo ad approfondire meglio il market, cosa vende e, soprattutto, i nostri dati in mani poco rassicuranti…

Possiamo renderci immediatamente conto come il market sia un luogo aperto dove singoli venditori possono pubblicare i propri annunci così da vendere i propri “prodotti”.

La vendita di dati

Al primo posto figura la vendita di dati, dati sottratti ad aziende, società, paesi che possono essere utilizzati sia come accesso iniziale e sia come studio ed analisi della corrispondenza. Così da scalare verso nuovi mittenti e nuovi destinatari (magari più appetibili) le proprie azioni criminali.


Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi». Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:
L'acquisto del fumetto sul Cybersecurity Awareness
Ascoltando i nostri Podcast
Seguendo RHC su WhatsApp
Seguendo RHC su Telegram
Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.


Ovviamente ci siamo concentrati sulla vendita di dati italiani, lo abbiamo ripetuto più e più volte ma è sempre bene ricordarlo. I dati una volta finiti in Rete sono persi per sempre e, spesso, possono essere un canale di accesso per programmare attacchi ransomware, spionaggio industriale, furti d’identità (purtroppo sempre più frequentemente con tutte le conseguenze legali del caso), ingegneria sociale sui soggetti così da tracciarne un profilo via via più dettagliato, campagne di phishing e molto altro.

All’interno del market è presente un annuncio, datato 31-12-2023, tramite il quale è possibile acquistare 900.000 dati di account italiani, vediamo l’annuncio ed il relativo screen:

L’annuncio è estremamente chiaro, è prevista la vendita di 900.000 dati di accesso italiani per 49$ pagabili nelle seguenti criptovalute: ETH, BTC, USDT-ERC20, USDT-TRC20 e l’invio del file contenente i dati all’acquirente avverrà tramite la piattaforma Mega, ovviamente assolutamente incolpevole.

Cosa contengono i dati in vendita nel market cinese

Entriamo ora nel vivo della questione ed andiamo ad analizzare il sample messo dal venditore opportunamente editato lasciando visibile il dato che ci interessa davvero, ovvero le password:

Eccoci arrivati al vero tasto “dolente, all’eterno dolore”, ovvero le password utilizzate per gli account e come queste siano assolutamente errate, inefficienti e soffrano della vecchia malattia italiana di dover mettere password che si possano ricordare a memoria o, quantomeno, facilmente trascrivibili su post-it, fogli di carta ecc…

Ma se queste password sono totalmente errate, come dovrebbe essere una password?

Se è troppo complessa, poi come faccio a ricordarmela? Io utilizzo diversi account e, quindi, diverse password (non farete mica password re-use, vero?), sicuramente mi confonderò e non riuscirò più a ricordarmi le password dei vari account, ma è davvero così? O, meglio, come fanno le persone “skillate” a ricordarsi le password?

KeePass – Il gestore delle password

Se siete arrivati fino a qui avete già capito che è ora di buttare post-it, fogli A4, agende con password segnate in punti sconosciuti e di passare ad uno strumento semplice, intuitivo, gratuito ma soprattutto sicuro per memorizzare le nostre password (e generarne di nuove, come vedremo in seguito)

Schermata di KeePass, un password manager che consente di salvare le proprie password suddividendole per categorie, queste che vediamo nello screen sono quelle di default ma ovviamente è possibile crearne delle altre così da organizzare al meglio le proprie password, andiamo a creare una entry con una password:

Questa è la schermata che ci apparirà quando andremo a creare la entry che ci interessa, ovviamente ho reso la password visibile(con le impostazioni di default che dopo modificheremo) per darvi un’idea di quello di cui stiamo parlando, la password che Keepass genera di default è una password ovviamente alfanumerica di 20 caratteri(quindi nulla a che vedere con le password che abbiamo visto sopra), ora però divertiamoci un po’ a modificare le impostazioni del “password generator” cliccando sulla chiave sotto ai tre puntini ed andando ad impostare la password da generare con i criteri che vogliamo:

Questa sarà la schermata che vedremo:

Lasciamo per buona la lunghezza ed andiamo a selezionare le seguenti voci: “Minus, Underline, Special, Brackets”:

A questo punto alla voce “Profile” vedremo la dicitura “Custom”, andiamo a cliccare sul dischetto con la matita ed a salvare questo nuovo profilo, a questo punto clicchiamo su “OK” per chiudere la finestra in questione e vedremo una finestra simile:

Come possiamo vedere la nuova password rispetta il profilo da noi precedentemente indicato, è uscita una password molto robusta che non ha niente a che vedere con le password che abbiamo visto all’inizio dell’articolo, che ovviamente è impossibile da ricordare e che andremo quindi a salvare cliccando “OK”

Eco qui la entry del nostro test salvata correttamente

Cliccando con il tasto destro è possibile fare varie azioni, tra le quali copiare la password ed eccola qui:

p7@y]pF:ZqE”0C6SuJL]

Questo è – ovviamente a grandi linee ed ad un livello molto basico – l’utilizzo del KeePass, il password manager che ci accompagna nella gestione e nella creazione di password complesse per i nostri account.

Le password sono complesse, ma sono sicure? Come faccio a vedere la sicurezza di una password?

Esistono vari siti che permettono di verificare la sicurezza di una password, uno dei più utilizzati si chiama proprio “How Secure Is My Password” gestito da security.org, andiamo a vederlo insieme facendo due test, il primo con una delle password in vendita nel market cinese ed il secondo con la password che abbiamo creato poco fa.

Tra le password in vendita ho scelto “forzanapoli” ottenendo un risultato assai deludente ed ampiamente previsto, in pratica avere un account con una password del genere è un invito a farsi bucare ma, a differenza di una password seria, non è una sfida, è proprio un modo per mandare un messaggio tipo “Ehi sono qui e sono pronto ad essere bucato, non mi interessa nulla se i miei account vengono compromessi, anzi vi lascio la porta aperta e vi invito ad entrare”.

Andiamo ora a vedere la password che abbiamo creato poco fa, vediamo quanto tempo impiegherebbe un computer a craccare la nostra password:

Ecco che per bucare la password che abbiamo creato poco fa con Kee Pass un computer impiegherebbe 3 sestilioni di anni, orientativamente un numero così:

3.000.000.000.000.000.000.000 di anni

Direi che gli screen parlino da soli e non servano ulteriori commenti in merito al grado di sicurezza delle due password

Davide Santoro
Da sempre patito di sicurezza informatica e geopolitica cerca da sempre di unire queste due passioni, ultimamente ho trovato soddisfazione nell’analisi dei gruppi ransomware, si occupa principalmente di crittografia ed è un sostenitore del software libero.

Lista degli articoli

Articoli in evidenza

Multa di 2,95 miliardi di euro per Google per abuso di posizione dominante
Di Redazione RHC - 07/09/2025

La Commissione Europea ha inflitto a Google una multa di 2,95 miliardi di euro, per abuso di posizione dominante nel mercato della pubblicità digitale. L’autorità di regolamentazione ha affermato ...

I Padri Fondatori della Community Hacker
Di Massimiliano Brolli - 06/09/2025

La cultura hacker è nata grazie all’informatico Richard Greenblatt e al matematico Bill Gosper del Massachusetts Institute of Technology (MIT). Tutto è iniziato nel famoso Tech Model Railroad Club...

38 milioni di Numeri di telefono di Italiani in vendita nel Dark Web. E’ che Smishing Sia!
Di Redazione RHC - 06/09/2025

Sette italiani su dieci hanno il proprio numero di telefono incluso in questa banca dati. Ma cosa significa attualmente disporre di un tale quantitativo di numeri telefonici concentrati all’interno ...

Se Flash è morto, ecco a voi l’SVG Assassino! Il phishing 2.0 è in alta definizione
Di Redazione RHC - 05/09/2025

I criminali informatici hanno lanciato una nuova ondata di attacchi che utilizzano file SVG per distribuire pagine di phishing. Gli esperti di VirusTotal hanno segnalato che gli aggressori si spaccian...

Supercomputer: l’Italia al sesto e decimo posto nella classifica TOP500 del 2025
Di Redazione RHC - 05/09/2025

Il mondo dei supercomputer è entrato nell’era dell’exascale computing. La classifica TOP500 di giugno per il 2025 ha registrato tre sistemi americani ai vertici, un debutto clamoroso dall’Europ...