Un ricercatore di sicurezza ha inviato al noto Troy Hunt, proprietario di Have I Been Pwned, circa 122 GB di dati prelevati da centinaia di canali Telegram. All’interno di archivi compressi e file di testo ci sono circa 361 milioni di indirizzi email. Dopo aver verificato la loro autenticità, Hunt ha caricato gli indirizzi sul sito, quindi tutti possono effettuare una ricerca.
Data breach o infostealer?
Telegram è uno dei servizi di messaggistica più popolari. Tra le sue migliori funzionalità ci sono i canali, usati per le comunicazioni unidirezionali one-to-many (l’amministratore pubblica informazioni che gli iscritti possono leggere). I cybercriminali usano i canali per distribuire e vendere numerosi dati personali.
Le “combolist” (coppie email/password) sono file di testo o archivi suddivisi per servizio o nazionalità. Quelle inviate a Troy Hunt provengono da 518 canali per un totale di 1.748 file, alcuni dei quali contengono milioni di righe. Le credenziali sono state probabilmente ottenute tramite data breach, credential stuffing o infostealer. In quest’ultimo caso, oltre a indirizzo email e password c’è anche l’URL del sito.
Hunt ha verificato l’autenticità di alcuni indirizzi email testando il login sui siti indicati nei file. Anche gli utenti contattati hanno confermato che i dati sono veri. Due di essi hanno ricevuto email da ignoti cybercriminali per chiedere denaro in criptovalute ed evitare la pubblicazione di informazioni riservate.
Sul sito Have I Been Pwned sono stati caricati circa 151 milioni di indirizzi email (gli altri erano già presenti). Gli utenti dovrebbero scegliere password robuste e uniche (mai usare le stesse per più siti/servizi). Meglio sfruttare le passkey (se disponibili), in quanto non possono essere rubate con un infostealer.