[Security Advisories] pahinaphotos.com – sito compromesso e phishing

All’interno di alcuni dipartimenti universitari (Pisa, Genova, Milano, Bologna, …), girano mail in cui viene segnalato che lo spazio della propria casella di posta ha raggiunto il limite e devono essere eliminati messaggi. Le mail riportano come mittente una persona che lavora realmente all’università (probabilmente con il sistema compromesso o infettato da virus/worm). Nelle mail sono richieste inoltre le credenziali di accesso alla propria casella di posta, mediante un form a questo link (o altri link simili):

http://pahinaphotos.com/bmsd/use/control/form1.html

Analizzando il sito che ospita il form e la pagina html incriminata, si può constatare che le pagine sono state generate con phpFormGenerator e il server è stato con molta probabilità compromesso da qualche cracker o gruppo. Spostandosi nell’albero delle directory è possibile accedere da semplice url del browser in http a molti file con permessi sia in lettura che in scrittura, e tra questi si può risalire ad alcuni db (indirizzo http://pahinaphotos.com/bmsd/use/control/admin). Le credenziali di accesso sono quasi banali e ottenute con un semplice bruteforce. Il database contiene le credenziali di accesso alla posta di moltissimi utenti (ricercatori, dottorandi, professori, … di vari atenei italiani).

Ecco uno screenshot di uno dei database (ho cancellato ovviamente per privacy tutti i campi!):

Segnalato alla Polizia Postale in data 17/04/2012, codice 422473/2012.

Matteo

Annunci