Wordpress data leak: due archivi contenenti domini e coppia username&password in diffusione su Telegram e altri canali.

Wordpress e altri CMS: pubblicati alcuni archivi di credenziali di siti web italiani

La notizia proviene da Michele Pinassi, esperto di cyber threat intelligence, che ne ha condiviso i dettagli con la redazione del sito specializzato in cyber sicurezza Red Hot Cyber. Gli archivi sono stati pubblicati sia su Telegram che su altri siti di sharing. In entrambi i casi si trovano:

• domini;
• user;
• password.

Le coppie di credenziali, va detto fin da subito, non provengono soltanto da siti gestiti con WordPress, ma anche con Joomla e servizi simili. E sono gratuiti.

Per saperne di più > Dati personali di italiani in vendita: il costo è 5 centesimi

Per saperne di più > Dark web e dati personali: 10 milioni di dati di cittadini italiani in vendita

Wordpress data leak: quali dati nel 1° archivio e a chi appartengono?

Questa schermata proviene dal primo archivio individuato in diffusione. In questo caso sono presenti siti con estensione .it, ma anche siti con estensioni .info o .com, tutti comunque afferenti a servizi di aziende italiane. I siti web in questione appartengono ad aziende italiane variegate: non si tratta quindi di un breach mirato contro un settore. Tra le tante vittime di questo breach ci sono anche politici, come fa sapere Red Hot Cyber. Ad esempio sono state diffuse le credenziali di accesso alla pagina di Carlo Borghetti Vice-presidente del Consiglio Regionale della Lombardia.

Gran parte delle coppie di credenziali è scontata, debole e facilmente individuabile. Poi c'è sempre il caso estremo, con credenziali admin 1 / admin1.

Wordpress data leak: quali dati nel 2° archivio e a chi appartengono?

Il secondo individuato da Pinassi invece è circolato su un canale Telegram assai noto per la pubblicazione di data leak.

Questo archivio contiene, come il primo, accessi e credenziali ai siti Wordpress.
 

Contiene i dati di accesso a portali istituzionali come il progetto dedicato ai giovani della Toscana giovanisi.it, ma anche gli accessi a prenotazioni.uniroma2.it tramite il quale gli studenti prenotano appuntamenti nell'Ateneo romano. Diffuse anche le credenziali del gruppo siciliano del Movimento 5 Stelle www.sicilia5stelle.it, del Sindacato Informatici Networkers di UILTuCS, dell'acquario di Genova, del Codacons Sicilia, ecc… Anche le credenziali di accesso del giornale online ilpost.it e di corrierecomunicazioni.it sono trapelate.

Molti sono gli accessi a siti web di aziende, e-shop ma anche studi legali, enoteche e perfino il sito web della nota band musicale Negrita: alcuni di questi siti sono al momento offline, altri in manutenzione.

A questo link la redazione di red Hot Cyber ha reso disponibile l'elenco dei domini .it, gestiti con Wordpress, le cui credenziali sono trapelate. Cambiare le password è urgentissimo.