SIAE You’ve been #Hacked

Così recita il Tweet delle ore 15:37 del 02/11/2018 del gruppo Anonplus, da non confondere con Anonymous Italia.

Gruppo già responsabile di azioni eclatanti contro il Pd, Il Giornale , Matteo Salvini ed ora la SIAE

Cattura.PNG

Da questo Tweet si capisce che , il sito della SIAE oltre ad essere stato “defacciato”, è stato oggetto anche di un corposo data leak (ben 3,8 GB di dati).

Cattura.PNG

Scaricando l’archivio, e scompattando il contenuto , possiamo notare la presenza di nomi utenti e/o mail.

sia2

La SIAE però risponde tramite un Tweet , e smentisce la perdita di dati sensibili SIAE

Beh se  utente e mail non è un dato sensibile……

Spinto dalla curiosità, ed essendo un’appassionato del settore, ho provato a contattare direttamente Anonplus, per capire cosa li abbia spinti a compiere tale azione e quali siano state le tecniche usate.

Tramite il loro chan IRC ,ho avuto la possibilità di poter parlare con uno degli esponenti “dark”, il quale mi ha spiegato in maniera dettagliata, cosa gli ha spinti e come hanno portato a termine questo attacco.

La prima domanda a dark è stata :

<dariobuon> una domanda che volevo farvi è , da quanto studiavate il target ? (se potete rispondere)
<dark> da mesi
<dark> ma gli ultimi 3 giorni sono stati decisivi

perché proprio la SIAE?:

<dark> perchè la siae nn serve a proteggere gli artisti
<dark> ma solo a fottere soldi agli artisti
<dark> tanto + che ultimamente l’antitrust ha multato siae

capito anche il motivo del loro gesto, non mi restava che capire il come e da qui è nata la terza domanda:

<dariobuon> E’ stato difficile sfruttare la vulnerabilità ?
<dark> allora usano drupal nn patchato (usavano)
<dark> ma quella è solo la parte + semplice
<dark> asd
<dark> anche injectando un user con privilegi da admin direttamente sul db
<dark> la parte amministrativa non funzionava in quanto blindata solo su alcuni ip di provenienza
<dark> idem il db in remoto si amazon
<dark> poi ci sono firewall che nn accetta determinate chiamate sia get che post
<dariobuon> immagino dei WAF
<dark> abbiamo dovuto aggirare il tutto dividendo il payload
<dark> con una prima parte in hex
<dark> e la seconda in base64
<dark> e fin siamo entrati
<dark> poi è sorto il problema delle tabelle
<dark> che nn faceva leggere sempre per il waf
<dark> anche li ci siamo dovuti inventare l’inpensabile
<dark> per farla breve
<dark> script in perl che ijnctava comandi shell che a sua volta eseguiva php per inserire dati in html su tabelle drupal serializzate
<dariobuon> in tutto questo…lato SIAE non è scattata nessuna sonda ? O.O
<dark> un lavoraccio asd

<dark> ma che
<dark> aggiarato il waf tutto liscio come l’olio

da questa risposta, possiamo capire che non abbiamo difronte degli sprovveduti che lanciano tool a casaccio, ma un gruppo di persone organizzare e preparate che analizzano il target e ne studiano le vulnerabilità per mesi, per poi creare exploit “on made” per sfruttare le vulnerabilità.

infatti anche lo stesso “dark”, puntualizza la cosa, definendosi professionista del settore.

<dark> a dirla sembra semplice
<dark> ma vi assicuro che nn è stato così
<dark> siamo professionisti del settore

Vi lascio queste parole, che a parer mio , fan capire il perché fanno tutto questo, e il perché associarli a CRIMINALI è ingiusto.

<dark> mettiamo a rischio la ns libertà personale
<dark> per dare tono e sensibilità al mondo anon
<dark> e ai problemi dell’italia e nn solo
<dark> nn lo facciamo per soldi
<dark> anonplus mai preso un soldo da nessuno
<dark> nn lo facciamo per la visibilità in quanto anonimi della rete
<dark> lo facciamo perchè crediamo che un giorno ci possa essere un mondo migliore
<dark> e forse anche grazie a noi (nel nostro piccolo)

 

3 pensieri riguardo “SIAE You’ve been #Hacked

  1. Per i dati sensibili tecnicamente hanno ragione, nel senso che dati sensibili sono quelli dell’art. 9 par 1 del GDPR e del relativo Considerando 51 (etnia, salute, preferenze sessuali, religione e compagnia bella). Che poi nome cognome ed email siano dati, diciamo così, delicati, è un altro paio di maniche.

    Piace a 1 persona

Rispondi

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.