Un portale di sicurezza informatica dell'FBI è stato violato e le informazioni di contatto di migliaia dei suoi membri sono trapelate a un forum illecito per criminali informatici.
Si ritiene che più di 80,000 utenti del portale InfraGard abbiano ora fatto trapelare i loro dettagli, con gli hacker che inviano messaggi ai membri direttamente sotto un account fingendosi un chief financial officer approvato dall'FBI.
InfraGard collabora con le aziende per condividere informazioni su attacchi informatici e altre minacce.
CEO in posa
I nomi e i dettagli di contatto di questi membri sono stati messi in vendita su Breached, un nuovo forum per criminali informatici.
InfraGard controlla i suoi membri, composti da persone chiave nelle società di sicurezza informatica che vengono assunte per gestire la sicurezza delle istituzioni nazionali, come l'acqua, i servizi pubblici, i trasporti, la sanità e l'energia nucleare. L'obiettivo è educare l'FBI e le aziende sulle minacce alla sicurezza informatica attraverso la condivisione delle informazioni.
In risposta al caso, l'FBI ha affermato che "la situazione è in corso e non siamo in grado di fornire ulteriori informazioni in questo momento".
KrebsOnSecurity - si apre in una nuova scheda - ha contattato il fornitore violato, che ha affermato di aver richiesto un account InfraGard con il pretesto di un vero CEO di un'importante società di credito.
Hanno usato il tuo nome, numero di previdenza sociale, indirizzo e-mail (che hanno anche affermato di aver violato) e numero di telefono per completare la domanda. L'attuale CEO ha detto a KrebsOnSecurity di non aver mai ricevuto alcun contatto dall'FBI sull'app.
Sebbene non si aspettasse di essere accettato, l'hacker ha ricevuto un'e-mail da InfraGard all'inizio di dicembre che lo informava che era stato approvato.
InfraGard richiede l'autenticazione a più fattori, ma gli utenti possono scegliere di ricevere un codice univoco via e-mail anziché via SMS. L'hacker ha affermato che se fossero stati costretti a utilizzare un solo telefono, sarebbero stati frustrati poiché hanno utilizzato il vero numero di telefono del CEO, a cui non avevano accesso.
Per rubare il database, hanno affermato di aver semplicemente sfruttato un'API sul portale che aiuta i membri a connettersi tra loro. Hanno usato uno script Python per recuperare i dati, che contenevano le informazioni per ciascun utente.
Sebbene le informazioni ottenute fossero piuttosto basilari e talvolta incomplete, l'hacker ha affermato che il suo vero motivo era continuare a fingere di essere un amministratore delegato e contattare altri membri di InfraGard, possibilmente sperando di estrarre informazioni più sensibili. .
L'amministratore del forum violato è Pompompurin, che ha precedenti con l'FBI. L'anno scorso, hanno sfruttato una vulnerabilità nel portale di condivisione delle informazioni della polizia locale di un'altra agenzia, ottenendo l'accesso per inviare grandi quantità di spam da indirizzi e-mail e indirizzi IP legittimi dell'FBI.