Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Jerry's Store, è un mercato underground presente nel dark web, che vende carte di credito rubate. I dati in esso contenuti sono stati esposti a causa di una configurazione errata generata dall'agente AI Cursor. I dati esposti, ammontano ad oltre 345.000 record di carte di credito rubate.
In effetti, stavamo aspettando questo e finalmente è arrivato. Jerry’s Store, un negozio clandestino gestito da criminali informatici, il quale vendeva carte di credito rubate, alla fine ha lasciato la porta aperta per colpa di una AI.
I ricercatori ritengono che il server sia stato compromesso a causa di una configurazione di Cursor il 16 aprile scorso. Gli operatori di Jerry’s Store utilizzavano attivamente l’ambiente di sviluppo AI per creare pannelli amministrativi e una dashboard statistica.
Jerry’s Store utilizzava uno strumento interno per valutare le carte: i venditori caricavano i dati di pagamento e il servizio mostrava quali record erano ancora in fase di verifica e quale percentuale di carte poteva essere venduta come valida. Per il mercato delle carte rubate, questa verifica ha un impatto diretto sul prezzo dell’articolo.
Sono stati i ricercatori di Cybernews a fare la scoperta del server non protetto e hanno rinvenuto 345.000 record di dati di pagamento, dashboard interne, registri di controllo e un sistema utilizzato dai criminali per convalidare le carte su Amazon, Temu, Lyft, Grubhub e altre piattaforme legittime.
Cursor genera ed esegue un comando con una configurazione non sicura. Fonte: Cybernews.
Gli screenshot di Cybernews mostrano il comando nohup python3 -m http.server che ha reso accessibile la dashboard tramite un file dashboard.html. Questo metodo è adatto per visualizzare rapidamente una pagina in locale, ma senza verifica dell’accesso, trasforma la dashboard interna in una pagina web pubblica. In questo caso, sono stati divulgati dati destinati esclusivamente agli amministratori di Jerry’s Store.
I numeri delle carte, le date di scadenza, i codici CVV, i nomi dei titolari e gli indirizzi sono stati resi pubblici. La dashboard visualizzava anche statistiche su account, token, cookie, credenziali, dimensioni delle tabelle e codici di risposta del servizio. In totale, la dashboard mostrava 14 tabelle relative a diverse piattaforme e tipologie di verifica.
I registri mostravano i tentativi di verifica dei pagamenti tramite siti web reali. Le voci includevano risposte positive, rifiuti, errori di autorizzazione, guasti di rete e messaggi di blocco. Sezioni separate del pannello di controllo riguardavano Amazon, Amazon JP, Lyft, Grubhub, Sam’s Club, Temu, Elf Cosmetics e altri servizi.
Il meccanismo era semplice. I criminali creavano centinaia, a volte migliaia, di account su piattaforme note, aggiungevano carte rubate come metodi di pagamento o effettuavano piccoli acquisti. Se il sito accettava il pagamento, Jerry’s Store contrassegnava la carta come valida, dopodiché il venditore poteva addebitare un prezzo maggiorato per l’account.
I grandi servizi hanno contribuito a nascondere tali controlli all’interno del flusso complessivo delle transazioni. Amazon, Grubhub e piattaforme simili elaborano un volume enorme di pagamenti, quindi un piccolo acquisto o un tentativo di collegare una carta non sempre desta sospetti. Per il titolare della carta, un’operazione del genere potrebbe essere il primo segnale che i dati sono già finiti nelle mani dei truffatori.
Cybernews ha trovato sul server quasi 200.000 record contenenti carte che Jerry’s Store considerava non funzionanti e oltre 145.000 record contenenti informazioni di pagamento valide. Nei mercati del dark web, le carte valide vengono generalmente vendute tra i 7 e i 18 dollari ciascuna, quindi il solo database avrebbe potuto valere tra 1 milione e 2,6 milioni di dollari. Il valore effettivo dell’infrastruttura potrebbe essere stato superiore, dato che il mercato vendeva più dei soli dati trapelati.
Informazioni sulle carte di credito, nomi e indirizzi delle vittime. Fonte: Cybernews.
Il gruppo Telegram “Jerry’s Store” ha 18.184 iscritti. Il canale pubblicava annunci di nuovi lotti di carte, specificando il paese, la percentuale di carte valide, il prezzo, il numero totale di carte e le opzioni di reso. In un annuncio, il lotto statunitense è indicato come valido al 100% e costa 18 dollari, mentre in un altro, il set statunitense e canadese è indicato come valido al 72% e costa 7 dollari.
Il gruppo Telegram di Jerry’s Store
Le chat di Cursor analizzate dai ricercatori indicano che il modello aveva un contesto sufficiente per comprendere il compito. Le chat riguardavano un sistema di verifica della carta di credito, ma le restrizioni di sicurezza non hanno impedito all’assistente di impartire comandi per avviare il pannello. La pubblicazione sottolinea che questo caso è importante non solo per le indagini sulle frodi con carta di credito: un errore simile potrebbe portare a una violazione da parte di sviluppatori legittimi se all’IA viene affidato il compito di configurare l’infrastruttura senza controlli di sicurezza.
Jerry’s Store è attivo dalla fine del 2023 ed è noto nella comunità dei criminali informatici come un servizio di verifica e vendita di carte di credito rubate. I principali obiettivi della piattaforma erano i titolari di carte di credito provenienti da Stati Uniti e paesi dell’UE.
Cursor è già stato collegato a un altro incidente di alto profilo: in PocketOS, un agente di intelligenza artificiale ha cancellato un database di produzione, insieme ai relativi backup, in nove secondi. L’incidente di Jerry’s Store illustra lo stesso rischio da una prospettiva diversa: gli strumenti di intelligenza artificiale possono fornire un supporto rapido per l’infrastruttura, ma senza rigide restrizioni di accesso, un singolo comando può trasformare un errore in una fuga o perdita di dati.
