Indagini in corso per la vendita di un archivio contenente i dati di circa 7.395.688 italiani vaccinati. I dati includono nomi, indirizzi, numeri di telefono, codici fiscali, date di nascita e altre informazioni: 6.583.199 (89%) sono indirizzi e-mail univoci e 5.324.895 (72%) sono password.
L’hacker che ha annunciato la vendita dei dati attraverso un post su un forum dedito allo scambio di dati, è il Threat Actor Mastiff, già noto per leak simili, che ha dichiarato di aver esfiltrato questi dati attraverso alcune vulnerabilità ancora presenti su un sistema online.
Lo stesso ha reso pubblici anche tre file di esempio, che contengono complessivamente i dati di alcune migliaia di persone, che Italian Tech ha verificato e che risultano in gran parte appartenenti a professionisti iscritti all’Ordine nazionale degli psicologi, provenienti da varie regioni d’Italia.
Tra questi compaiono il nome, cognome, indirizzo e-mail e codice fiscale delle vittime, associate a quello che sembra essere lo status vaccinale delle stesse e al numero di iscrizione all’ordine professionale di appartenenza. Alcune delle vittime contattate da Italian Tech hanno confermato l’iscrizione all’Ordine degli psicologi.
I sample che il criminale informatico ha messo a disposizione fanno riferimento unicamente a diverse ASL e CAP di residenza relative a regioni del Centro/Sud Italia. Molto probabilmente, in relazione al volume di dati, si tratta di portali di prenotazione vaccini di tipo regionale compromessi attraverso un attacco di SQL- Injection.
La vicenda presenta ancora molti aspetti poco chiari, ma le indagini dello Csirt sembrerebbero ora puntare al portale unico di prenotazione vaccino della Regione Campania come fonte di almeno la maggior parte dei dati (4 milioni circa), per una vulnerabilità al database. I portali di prenotazione bucati potrebbero essere di varie località.
In uno degli archivi divulgati, in formato testuale, compare un riferimento alla “data invio richiesta” e ciascuna delle date indicate risale a un periodo di tempo tra il 27 febbraio e l’8 marzo del 2021. Per ciascuna data è indicato anche un orario, che fa ipotizzare si tratti di una lista automatica di iscrizioni e che potrebbe riferirsi appunto all’iscrizione per l’ottenimento del vaccino. In un secondo file, che contiene oltre 800 identità, si legge invece la dicitura “già positivo”.
Mastiff nel post ha dichiaratro di aver esfiltrato questi dati durante l’ultimo mese e che alcune delle vulnerabilità sono ancora aperte e non sono state divulgate, ma non sono in vendita. Tuttavia, l’Ordine nazionale degli psicologi annovera attualmente circa 100mila iscritti, ed è dunque probabile che l’intero database, laddove esistente, faccia riferimento anche ad altre professionalità. Tra le informazioni generali, il criminale informatico ha precisato che venderà l’intero archivio solamente due volte, un metodo per evitare che i dati al suo interno perdano valore.
https://www.italian.tech/2021/06/12/news/rubate_le_informazioni_vaccinali_degli_italiani-305718740/
