Cosa sappiamo sulla Mother of All Breaches (MoAB)

I clienti e partner di SpyCloud hanno una copertura esistente del 94% della Mother of All Breaches – tra il nostro dataset recuperato di oltre 500 miliardi di asset.

Se sei aggiornato sulle notizie relative alle violazioni, probabilmente hai sentito parlare della Mother of All Breaches, o della fuga di dati MOAB come è stata chiamata dalla stampa. Fondamentalmente, i ricercatori di sicurezza hanno scoperto ciò che viene definito “quasi certamente la più grande [fuga di dati] mai scoperta”. E l’entusiasmo è giustificato, dal momento che stiamo parlando di oltre 26 miliardi di record trapelati nelle mani degli attori minacciosi, raccolti da 4.144 violazioni che si sono verificate negli ultimi anni.

Mentre la portata della fuga di dati MOAB è vasta e colpisce un’ampia lista di aziende, i ricercatori di SpyCloud Labs hanno confermato di avere una copertura esistente del 94% nel nostro dataset recuperato di oltre 500 miliardi di asset, il che significa che una grande parte dei dati esposti era pubblica, vecchia, inutilizzabile per i criminali o altrimenti ampiamente conosciuta. Qui è mostrata una suddivisione delle dimensioni delle violazioni contenute nella fuga di dati MOAB.

Analisi della violazione di MOAB

Dopo un’analisi dettagliata del completo dataset di MOAB, i ricercatori di SpyCloud Labs hanno scoperto che, sebbene la grande maggioranza delle violazioni divulgate nella fuga di dati esistesse già nel data lake di SpyCloud, 274 violazioni individuali con una grande quantità di record – approssimativamente 1,6 miliardi – sembravano distinte, rispetto al dataset di SpyCloud.

Le scoperte dei laboratori di SpyCloud indicano che alcune di queste violazioni precedentemente sconosciute erano state rilasciate solo in formato di campione, con il set completo di dati riservato per la vendita privata, o precedentemente non pubblicati pubblicamente. Ma abbiamo anche trovato una significativa duplicazione, etichettatura errata e/o falsificazione di dati all’interno della fuga di dati MOAB, riguardante almeno 30 di queste violazioni “nuove”.

Violazioni per vendita privata

Alcune violazioni sembrano essere state offerte in vendita o accennate in post di forum con un piccolo campione del set di dati completo. Questi campioni, comunemente definiti “prove”, servono a dimostrare le affermazioni degli attori minacciosi e a tentare gli individui ad acquistare il set completo di dati.

Un esempio di ciò sembra essere BTCTurk, un exchange di criptovalute turco, che sarebbe stato violato nel 2023. Mentre un piccolo campione dei dati rubati è stato pubblicato gratuitamente da un attore minaccioso su un forum criminale, il set completo di dati è stato sfuggente e potrebbe essere stato venduto privatamente o scambiato al di fuori dello spazio pubblico. A differenza dei diversi migliaia di record offerti nel campione pubblicato pubblicamente, la versione della violazione registrata nel dato MOAB si estendeva su oltre 500.000 record e sembra essere il set completo di dati rubati.

Violazioni precedentemente non pubblicate

L’altra categoria – e una parte significativamente più grande delle violazioni – non aveva alcun record nel registro pubblico. Ciò potrebbe essere dovuto all’accesso esclusivo ottenuto dal team responsabile della creazione del dataset MOAB, oppure semplicemente al fatto che le violazioni fossero state divulgate pubblicamente ma non ancora raccolte da SpyCloud. È importante riconoscere che nessuna azienda ha una copertura completa di ogni violazione o dataset pubblicato su Internet, e una piccola parte delle violazioni in questa categoria è probabilmente stata pubblicata in un forum pubblico o semi-privato e non identificata dai nostri ricercatori.

Un esempio che stiamo osservando è una massiccia violazione di QQ.com, che comprende quasi 1,5 miliardi di record contenuti nel dato MOAB. I tipi di asset contenuti nel dato MOAB sembrano distinti dalle precedenti violazioni dei dati, compresa una violazione ampiamente pubblicizzata nel 2019 che ha esposto gli indirizzi email e le password degli utenti QQ. Dalla nostra analisi, i timestamp indicano che la violazione potrebbe essere avvenuta tra il 2007 e il 2021. La quantità di dati di alta qualità è vasta, con 668.101.892 indirizzi email QQ distinti e un totale di 719.528.232 combinazioni email/telefono.

Violazioni con scarsa integrità dei dati

Come accennato in precedenza, delle violazioni precedentemente sconosciute, almeno 30 hanno rivelato una significativa duplicazione, etichettatura errata e/o falsificazione di dati, per un totale di oltre 1,7 miliardi di record. L’ampio livello di scarsa integrità dei dati contenuti nel dataset MOAB suggerisce che poco sia stato fatto nel processo di raccolta dati. Alcuni esempi includono:

La violazione di Tencent, con 1.468.566.171 record, si è rivelata essere quasi una duplicazione esatta della violazione di QQ, ad eccezione di circa ~18.000 record.
Una violazione chiamata 172.104.90.245_main aveva 10.856.261 record nella fuga di dati MOAB. Dopo l’analisi dei dati, abbiamo scoperto che c’era una grande quantità di dati duplicati, risultando in soli 1.667 record netti nuovi.
Dopo aver eliminato i duplicati nei dati di un’altra violazione chiamata city-chat.de con 775.195 record, abbiamo nuovamente trovato un numero molto più piccolo di record unici: 1.370.
In un altro caso, gli autori della fuga di dati MOAB hanno aggiunto l’equivalente in testo normale delle password hash MD5 ai dati contenuti nella violazione di eHarmony, ma l’hanno aggiunto come nome utente, senza alcuna relazione con nome utente o account, rendendolo essenzialmente inutile per i criminali.

Se sei stato influenzato dalla fuga di dati MOAB, contatta oggi stesso SpyCloud. Il nostro team ha integrato il 97% dei nuovi dati MOAB nel nostro esistente data lake di oltre 500 miliardi di asset, rendendolo accessibile ai clienti di SpyCloud e utilizzabile per la prevenzione automatizzata del furto di account. Le nuove violazioni si aggiungono ai oltre 25 miliardi di asset che inglobiamo mensilmente, normalizzando su più di 240 campi e rendendo operativi per prevenire ulteriori danni. Se sei un cliente di SpyCloud, ti preghiamo di contattare il tuo responsabile del successo del cliente (CSM) per eventuali domande.

Parallelamente, il nostro Responsible Disclosure team sta interagendo con le organizzazioni identificate nella violazione di MOAB per garantire che abbiano accesso ai dati grezzi e possano rimediare a qualsiasi possibile esposizione degli utenti o dei dipendenti dovuta al rilascio di queste informazioni.

Articolo originale

Scopri la pagina del vendor sul nostro sito

PUBBLICATO DA:<br>Sara Guglielmi
PUBBLICATO DA:
Sara Guglielmi
Marketing

ARTICOLI CORRELATI

Quali sono i vantaggi di una API anti-phishing?

Quali sono i vantaggi di una API anti-phishing?

Gli esseri umani sono l’anello più debole e il phishing sfrutta l’errore umano. Gli autori di phishing inducono un senso di urgenza nei destinatari, quindi i dipendenti sono spesso costretti a compiere azioni dubbie senza pensare alle conseguenze. Il risultato è...