Un'indagine condotta da due ricercatori indipendenti ha rivelato una vasta campagna di hacking che sfruttava vulnerabilità in siti web pubblici per rubare dati sensibili da milioni di siti. Gli hacker vendevano poi le informazioni sul dark web per centinaia di euro.
I ricercatori Noam Rotem e Ran Loncar hanno scoperto ad agosto 2024 delle falle di sicurezza che permettevano di accedere a dati riservati dei clienti, credenziali infrastrutturali e codice sorgente proprietario. Ulteriori indagini hanno rivelato che attori francofoni, possibilmente legati ai gruppi Nemesis e ShinyHunters, stavano sfruttando queste vulnerabilità per estrarre informazioni sensibili da "milioni di siti web".
Tra i dati trafugati figuravano chiavi e segreti dei clienti AWS, credenziali di database, credenziali Git e codice sorgente, credenziali SMTP, chiavi API per servizi come Twilio e SendGrid, credenziali SSH, chiavi e mnemonici legati alle criptovalute e altre credenziali di accesso sensibili. Gli hacker vendevano poi gli archivi rubati su un canale Telegram dedicato, guadagnando "centinaia di euro per violazione".
Rotem e Loncar hanno segnalato le loro scoperte prima al Cyber Directorate israeliano e poi ad AWS Security. Entrambi hanno iniziato ad adottare misure immediate per mitigare il rischio, anche se AWS ha sottolineato che la vulnerabilità non era nel loro sistema, ma nel modo in cui i clienti lo utilizzavano.
Gli esperti di cybersicurezza avvertono costantemente che le configurazioni errate del cloud sono una delle principali cause di violazioni. Ironicamente, gli stessi hacker sembrano non prestare attenzione a questi avvertimenti, dato che i ricercatori hanno trovato tutti i file rubati in un database AWS non protetto.
"I dati raccolti dalle vittime erano archiviati in un bucket S3, lasciato aperto a causa di una configurazione errata del proprietario", hanno spiegato i ricercatori. "Il bucket S3 veniva utilizzato come 'unità condivisa' tra i membri del gruppo di attacco, in base al codice sorgente degli strumenti da loro utilizzati." Alla fine, AWS ha comunicato di aver "gestito il problema" il 9 novembre.