Il settore della sicurezza informatica è stato scosso da due recenti attacchi che hanno coinvolto l’Internet Archive e la società russa di sicurezza Dr.Web. Questi episodi mettono in luce la vulnerabilità di infrastrutture digitali di grande rilevanza, evidenziando la crescente minaccia rappresentata dai gruppi di hacker attivisti e dai criminali informatici.
Violazione dell’Internet Archive: compromessi 31 milioni di account
L’Internet Archive, noto per il suo servizio The Wayback Machine, ha subito una significativa violazione dei dati che ha coinvolto oltre 31 milioni di utenti. La notizia della compromissione si è diffusa rapidamente dopo che un hacker ha inserito un avviso JavaScript sul sito archive.org, rivelando la violazione. Il messaggio faceva riferimento al database di autenticazione rubato, contenente informazioni sensibili come indirizzi email, nomi utente, password hashate con Bcrypt e dati interni.
- Il file SQL sottratto, denominato “ia_users.sql”, contiene circa 6,4 GB di dati, con l’ultima modifica risalente al 28 settembre 2024, data che coincide probabilmente con il momento della violazione.
- L’informazione è stata confermata come autentica da Troy Hunt, creatore del servizio Have I Been Pwned (HIBP), a cui l’attaccante ha condiviso i dati. Hunt ha contattato alcuni utenti per verificare l’autenticità delle informazioni, tra cui il ricercatore di sicurezza Scott Helme, che ha confermato la corrispondenza dei dati rubati con quelli archiviati nel suo gestore di password.
L’Internet Archive non ha ancora fornito una risposta ufficiale dettagliata sull’incidente. A peggiorare la situazione, il sito ha subito un attacco DDoS, rivendicato dal gruppo hacktivista BlackMeta, che ha minacciato ulteriori azioni. La gravità della violazione sottolinea la necessità di adottare misure di sicurezza più rigide per proteggere le piattaforme con grandi volumi di dati sensibili.
Attacco a Dr.Web: la rivendicazione di DumpForums
Parallelamente, il gruppo di hacktivisti pro-Ucraina DumpForums ha rivendicato l’attacco ai danni della società russa Dr.Web, avvenuto il 14 settembre 2024. Dr.Web ha confermato l’intrusione nei suoi sistemi, che ha portato alla disconnessione di tutti i server interni per limitare i danni. Tuttavia, DumpForums afferma di aver avuto accesso per circa un mese ai sistemi di sviluppo della società e di aver sottratto fino a 10 terabyte di dati, inclusi database di clienti e repository interni.
- Tra i dati compromessi figurano informazioni contenute nei server GitLab, nelle email aziendali e nei sistemi di gestione dei progetti come Confluence e Jenkins. Questo avrebbe permesso agli hacker di accedere a credenziali sensibili e dati di sviluppo.
- In risposta alle accuse, Dr.Web ha negato che i dati dei clienti siano stati rubati e ha dichiarato che l’attacco è stato prontamente fermato. L’azienda ha inoltre ribadito la propria posizione di non negoziare con i criminali informatici e ha annunciato che le forze dell’ordine stanno conducendo un’indagine.
Questo attacco rappresenta solo l’ultimo di una serie di intrusioni che hanno coinvolto aziende russe nel contesto del conflitto con l’Ucraina, con gruppi di hacker che agiscono per supportare l’una o l’altra fazione. Le violazioni mettono in evidenza la necessità di una sicurezza informatica robusta anche per le aziende specializzate in cybersecurity, come nel caso di Dr.Web.
Considerazioni e impatti sulla sicurezza
I casi di Internet Archive e dr.Web evidenziano la vulnerabilità delle piattaforme digitali di fronte agli attacchi di gruppi organizzati, che sfruttano le falle di sicurezza per accedere a dati sensibili e comprometterne la riservatezza. Le organizzazioni, sia pubbliche che private, devono potenziare le proprie misure di protezione, garantendo aggiornamenti tempestivi delle loro infrastrutture e adottando pratiche di gestione del rischio più rigorose.
