Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Email.itのユーザ情報が60万件DarkWebで販売

新型コロナウィルスで日本以上に厳しい状況にあるイタリアのメールプロバイダー「Email.it」のデータが60万件ダークウェブで販売されていると報じられていました。

www.zdnet.com

 

600,000人を超えるEmail.itユーザーのデータは現在、暗いWebで販売されています。

(中略)

Email.itハックが日曜日に明らかになり、ハッカーTwitterを利用して、会社のデータを販売していた暗いWeb上のWebサイトを宣伝しました。

ハッカー-NN(No Name)Hacking Groupの名前で-実際の侵入は2年以上前の2018年1月に行われたと主張しています。

2年以上前にEmail.it Datacenterに違反し、APTのように自分自身を植え付けました。私達は彼らのサーバーから可能な機密データを取り出しました、そして私達が彼らに少しの報奨金を求めて彼らの穴にパッチを当てる機会を与えることを選択した後。彼らは私たちと話すことを拒否し、ユーザー/顧客をだまし続けました。違反後、ユーザーや顧客に連絡しませんでした!

サイトの別のメッセージによると、ハッカー2月1日に「少しの報奨金」を要求したときにEmail.itを強要しようとしました。

Email.itの広報担当者は月曜日にZDNetに、会社は支払いを拒否し、代わりにイタリアの郵便警察(CNAIPIC)に通知したと語った。

ZDNet記事から引用)※機械翻訳

 

キタきつねの所感

2年前の侵害を2月1日に金銭要求してくるという所に、長期間「検知できない」企業側の抱える脆弱点を感じます。また、2年という事から考えると、既に窃取できる機密情報は全て引き上げた上で、Email.itに交渉を持ちかけている事が伺えます。

※2月は、新型コロナウィルスが北イタリアで拡大した時期に合わせたのか?とも考えたのですが、確か拡大が急速に進んだのは2月下旬でしたので、関係が無いかも知れません。

 

もう1点気になったのが侵害時期です。侵害は2018年1月からとされています。それ以来継続して侵入を許していると見られますが、GDPR施行が2018年5月末だったので、侵害時期はGDPR施行以降にも継続している事となります。

この場合、GDPR違反で高額な罰金を請求される可能性があるかも知れません。

 

海外ソースにもあまり続報が出てないのですが、色々な意味で今後が気になる事件となりそうです。

 

今回の事件では、Email.it側が金銭(ランサム)要求を断ったので、DarkWeb上でデータ販売が開始されているのですが、DarkWeb上での販売を、攻撃者はTwitter上で宣伝(DarkWebへの誘導)しています。(※まだアカウントがあります

f:id:foxcafelate:20200412060635p:plain

 

 

この添付ファイルを見ると、結構深い所まで侵害を受けていた事が分かります。 

 

f:id:foxcafelate:20200412062108j:plain

ハッカーグループによると、彼らはEメールアカウントの無料版にサインアップしたユーザーの情報を含む46のデータベースを所有しています。データベースには、パスワード、電子メールの内容、セキュリティの質問、電子メールの添付ファイル、および2007年から2020年の間にサービスを使用した600,000人を超えるユーザーから送信されたプレーンテキストSMSメッセージが含まれています。

Teiss記事より引用)※機械翻訳

 

サンプルのパスワードファイルもUPされていましたが・・・本物な感じがします。

 

f:id:foxcafelate:20200412062122j:plain

f:id:foxcafelate:20200412062129j:plain

 

 

そしてデータフォルダのサンプルもあったのですが、ネットから繋がっている部分は全て窃取されてと言っても過言ではない事が分かります。

 

f:id:foxcafelate:20200412062137j:plain

 

ハッカーグループは、管理アプリケーションや顧客向けアプリケーションを含むすべてのEmail.itのWebアプリケーションのソースコードを所持しているとも主張しています。ハッカーグループの主張が正しいかどうかは確認されませんでしたが、Email.itは、ハッキングされたサーバーに顧客の財務情報が保存されておらず、影響を受けるビジネスアカウントがないことを確認しました。

Teiss記事より引用)※機械翻訳

 

個人的に気になったのが右側の部分の「755」が全て書かれた数字部分です。Email.itはFTPが(少なくても侵害された時期)使える状態になっていた事を示唆します。

 

755・・・、確か左から「本人」「グループ」「外部」となる構成だったかと思いますが、そう考えると「外部」に対しフォルダに対するRead(R)と実行(X)が付与されていた事になります。この辺りにハッカーが侵入できた原因があるのではないかと推測します。

 

Email.itのユーザは新型コロナ騒動で自宅待機を余儀なくされているイタリア人のユーザも多いかと思います。メールに頼る事も多い時期にもかかわらず、メールプロバイダー側のセキュリティの甘さから、60万人のユーザは、データ漏えいに伴うフィッシング被害、パスワード変更(2要素認証利用)を強いられる事になっていると思われます。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 ピザ職人のイラスト

 

更新履歴

  • 2020年4月11日 PM(予約投稿)