Migliaia di credenziali aziendali rubate finiscono su Internet, visibili a tutti

di Redazione TecnoGazzetta

Check Point Research (CPR), la divisione Threat Intelligence di Check Point® Software Technologies Ltd.(NASDAQ: CHKP), il principale fornitore di soluzioni di cybersecurity a livello globale, scopre una campagna phishing su larga scala, in cui degli hacker hanno involontariamente reso visibili oltre mille credenziali di accesso rubate, accessibili a tutti attraverso una semplice ricerca su Google.

CPR e Otorio hanno scoperto una campagna phishing potenzialmente molto pericolosa: gli aggressori hanno involontariamente reso visibili su internet diverse password rubate. La campagna si prolungava da agosto 2020 con e-mail che avevano l’aspetto di notifiche di scansione Xerox, spingendo così gli utenti ad aprire un allegato HTML dannoso che ha bypassato il filtro ATP (Advanced Threat Protection) di Microsoft Office 365.

Quindi, sono state rubate le credenziali aziendali di oltre mille dipendenti e memorizzate in apposite pagine web su server compromessi. Anche Google, che indicizza costantemente Internet, ha reso visibili queste pagine web. In altre parole, le credenziali rubate erano a disposizione di chiunque potesse richiedere a Google un indirizzo e-mail rubato, con una semplice ricerca su Google, chiunque avrebbe potuto trovare la password di uno degli indirizzi e-mail compromessi e rubati. Il desiderio di ogni hacker!

David Gubiani, Regional Director SE EMEA Southern di Check Point: “Tendiamo a credere che quando qualcuno ruba le nostre password, la peggiore delle ipotesi è che le informazioni vengano utilizzate all’interno del dark web. Non in questo caso. Qui, tutte le persone avevano accesso alle credenziali rubate. La strategia degli aggressori è stata quella di memorizzare le informazioni rubate su una specifica pagina web da loro creata. In questo modo, dopo aver protratto le campagne per un certo periodo di tempo, gli aggressori hanno potuto scansionare i server compromessi per le rispettive pagine web, raccogliendo le credenziali. Però, non pensavano che anche Google è in grado di scansionare le stesse pagine. Si è trattato di un chiaro fallimento di operation security per gli aggressori.”

Vuoi ricevere gli aggiornamenti delle news di TecnoGazzetta? Inserisci nome ed indirizzo E-Mail:


Acconsento al trattamento dei dati personali (Info Privacy)