Il vendor di soluzioni antivirus BitDefender è stato attaccato da un hacker che si fa chiamare DetoxRansome. L’hacker afferma di avere accesso a informazioni sui clienti del produttore, incluse le loro password, e spiega che queste erano memorizzate in modo non cifrato.
Forbes spiega che DetoxRansome ha chiesto un riscatto a BitDefender, mostrando come prova i nomi non cifrati e le password che apparterrebbero ai clienti di BitDefender. Il produttore di software antivirus in una mail ha spiegato di avere individuato un potenziale problema di sicurezza in un server e afferma che una sola applicazione è stata oggetto del target: un componente della sua offerta cloud. A detta di BitDefender l’hacker non è potuto penetrare in modo completo il server ma sarebbe riuscito a ottenere accesso a pochi username e password per via di una vulnerabilità. La società non spiega quanti dati dei suoi clienti siano stati compromessi, ma afferma genericamente che questi “sono meno dell’1% dei clienti SMB” (small and medium-sized businesses, piccole e medie aziende).
I ricercatori Travis Doeringe& Dan McPeak di HackerFilm scrivono che DetoxRansome il 24 luglio ha chiesto 15.000$ di riscatto a BitDefender in cambio della restituzione dei dati e dell’indicazione dell’exploit utilizzato. L’hacker avrebbe anche minacciato di diffondere il database se la richiesta di riscatto non sarà soddisfatta. Un campione di username e password è stato in seguito incollato in una pagina web con i nomi e le password in chiaro di 250 account Bitdefender. Travis Doering e Bitdefender hanno confermato che i dati fanno effettivamente riferimento ad account attivi. Il 28 luglio in una mail inviata agli sviluppatori della società produttrice di antivirus, DetoxRansome ha spiegato di avere accesso a due cloud server di BitDefender e a “tutti i login”, in contrasto con quanto dichiarato dai produttori dell’antivirus. L’hacker afferma che i dati ai quali ha accesso non sono cifrati (“sì, non sono cifrati… e posso provarlo… usano Amazon Elastic Web cloud che ha noti problemi con l’SSL”).
La società produttrice delle applicazioni antivirus (che ha sede in Romania), afferma di non aver pagato il riscatto e spiega che le autorità si stanno occupando del caso. Secondo Hacker Film il 29 luglio i dati di BitDefender sono stati venduti nel dark web, almeno questo è quanto emerge da alcuni forum underground. Non è la prima volta che i produttori di antivirus vengono attaccati dagli hacker e non solo da questi. Edward Snowden (ex tecnico CIA noto per aver rivelato pubblicamente dettagli di diversi programmi di sorveglianza di massa del governo statunitense e britannico) ha spiegato che alcuni produttori di antivirus, inclusa la stessa BitDefender, sono stati più volte oggetto di attacco da parte della NSA.