A fine marzo, la Commissione europea ha confermato un accesso non autorizzato alla piattaforma cloud che ospita i siti europe.eu. Nel comunicato ufficiale era solo specificato il furto di alcuni dati, successivamente pubblicati online dal gruppo ShinyHunters. Il CERT-EU ha ora fornito maggiori dettagli sull’attacco informatico.
Accesso all’account AWS e furto di 340 GB di dati
La Commissione europea ha notificato l’incidente di sicurezza al CERT-UE il 25 marzo, ovvero l’accesso non autorizzato ad un account AWS. Il Cyber Security Operations Center del CERT-EU aveva già rilevato l’abuso delle API di Amazon e un aumento inatteso del traffico il giorno precedente.
I cybercriminali hanno ottenuto una chiave API dell’account il 19 marzo attraverso l’attacco supply chain effettuato contro Trivy dal gruppo TeamPCP. Una versione infetta del tool di scansione (includeva un infostealer) è stata pubblicata su GitHub. Qualcuno della Commissione europea ha usato il tool e consegnato la chiave API ai cybercriminali.
Successivamente hanno sfruttato il tool TruffleHog per cercare altre chiavi e associato una nuova chiave ad un account esistente per aggirare la rilevazione. Tutte le chiavi e i diritti di accesso agli account sono stati revocati dalla Commissione europea. I cybercriminali avevano però già sottratto i dati di 71 siti che usano il servizio di hosting. Il 28 marzo sono stati pubblicati dal gruppo ShinyHunters (circa 340 GB non compressi).
Una prima analisi ha confermato il furto di dati personali, tra cui nomi, username e indirizzi email. Nell’archivio ci sono inoltre quasi 52.000 email. È ancora in corso l’analisi dei database associati ai siti web. Non è stata rilevata nessuna intrusione con gli altri account AWS.
Ti potrebbe interessare
3 apr 2026