Prowadzą śledztwo w sprawie domniemanego włamania do armii: jakie dane są na sprzedaż i do czego mogą posłużyć?

Argentyńska armia analizuje wpis cyberprzestępcy zamieszczony na znanym forum wymiany danych osobowych, na którym rzekomo znajdują się informacje na temat 50 000 członków sił zbrojnych.

Różne sektory rządu, od Ministerstwa Obrony po Federalną Agencję Cyberbezpieczeństwa , analizują potencjalny zakres domniemanego włamania , które doprowadziło do wycieku.

Informację podała firma Birmingham CyberArms LTD, która zajmuje się analizą zagrożeń oraz monitorowaniem włamań i wycieków danych w sektorze państwowym i prywatnym. „Pełnomocnik ds. zagrożeń sprzedaje dane 50 000 żołnierzy w Argentynie w formacie PDF: dowody osobiste, daty urodzenia, miejsca zamieszkania, zapisy podróży, dyplomy i inne ” — napisał Sheriff w swoim systemie monitorowania zagrożeń.

Mauro Eldritch, dyrektor firmy, powiedział Clarín , jakie informacje są oferowane: „To partia 50 000 dokumentów w różnych formatach, w tym pliki PDF i zrzuty ekranu, które mogłyby wskazywać poziom dostępu atakującego do systemu, z którego zostały wyodrębnione” – wyjaśnił.

Analityk wyjaśnił, jakie informacje są udostępniane na podstawie tego, co można wywnioskować z posta: „Wygląda na to, że zostały one wyodrębnione przyrostowo z systemu dokumentów, co może wskazywać na lukę w zabezpieczeniach umożliwiającą wizualizację danych (w tym przypadku profili użytkowników) identyfikowanych za pomocą wartości rosnącej ( takich jak 1, 2, 3, 4 )” — wyjaśnił. W cyberbezpieczeństwie nazywa się to „IDOR” – Insecure Direct Object Reference .

„Ten typ podatności umożliwia każdemu złośliwemu użytkownikowi kontynuowanie sekwencji i przeglądanie danych obcych, co pozwala mu na przeszukiwanie bazy danych (czyli przeglądanie jej sekwencyjnie i automatycznie w celu jej replikacji w sposób dozwolony przez system)” – dodał. Na przykład, jeżeli adres internetowy kończy się na „445”, to po zmianie na „446” będzie można wyświetlić profil innego użytkownika.

„Plik zawiera wiele poufnych informacji, ponieważ ma charakter wojskowy – od dokumentacji akademickiej i fotografii po informacje dotyczące podróży i dane rodzinne żołnierzy. Może więc stanowić kopię zapasową systemu zawierającego pliki” – dodaje.

Armia wydała oświadczenie w ostatni wtorek, w którym stwierdziła, że ​​„może to wiązać się z dostępem do danych administracyjnych, które nie naruszą możliwości sił”. Clarín skontaktowała się z armią, aby uzyskać aktualne informacje na temat incydentu, a armia potwierdziła, że ​​skarga złożona 8 maja w Wydziale Cyberprzestępczości Federalnej Policji została rozszerzona w ten czwartek.

Naruszenie bezpieczeństwa danych (lub wyciek, jak się to określa w dziedzinie cyberbezpieczeństwa) polega na nieautoryzowanym ujawnieniu informacji. Może to być Twoje pełne imię i nazwisko, adres, adres e-mail, numer telefonu, hasła lub pliki. Mogą to być również informacje poufne, jak to ma miejsce w przypadku wojska.

„Krytyczną częścią tego, co rzekomo jest na sprzedaż, są zapisy służbowe, w których można zobaczyć szczegółowo karierę wojskową każdego członka, gdzie służył („broń lub służba”), w jakiej roli i z jakim stopniem w tamtym czasie. To w zasadzie historia wojskowa każdej osoby, która często ujawnia poufne informacje nie tylko o tej osobie, ale także o wewnętrznych ruchach Destiny (przeznaczenia jako lokalizacji wojskowej)” — wyjaśnia Eldritch.

Informacje te są często rozpowszechniane na podziemnych forach i kanałach Telegram, a także na innych stronach będących częstym celem cyberprzestępców. Wycieki te mają zazwyczaj różne cele: od sprzedaży na czarnym rynku po wykorzystywanie tych danych do przeprowadzania ataków phishingowych , czyli rozsyłania fałszywych wiadomości e-mail, których celem jest nakłonienie użytkowników do odwiedzania fałszywych witryn i usług.

Zazwyczaj po wycieku dane trafiają na czarny rynek (tzw. dark web, choć można je też kupić za pośrednictwem Telegrama, który nie reguluje żadnej nielegalnej działalności), są wykorzystywane do wszelkiego rodzaju oszustw , a nawet stają się bramą dla ataków ransomware .

W ostatnich latach Argentyna doświadczyła wielu ataków na podmioty państwowe, począwszy od Krajowej Dyrekcji ds. Migracji w 2020 r. , Senatu Narodu w 2022 r. , PAMI i CNV w 2023 r. , a skończywszy na jednym z największych przypadków – RENAPER w zeszłym roku.

Temu mediom udało się uzyskać dostęp do informacji, które wyciekły do ​​RENAPER w zeszłym roku, i odkryły, że znaleziono w nich imiona, nazwiska, daty urodzenia, daty zgonu (jeśli dotyczy) oraz numery identyfikacyjne milionów Argentyńczyków.

Znajdowały się tam nawet bardzo szczegółowe foldery zawierające bazy danych z adresami cudzoziemców mieszkających w Argentynie, a nawet informacje o personelu marynarki wojennej z pełnymi nazwiskami i stopniami wojskowymi , co wskazuje, że ta nowa sprawa nie będzie pierwszą, która dotknie Sił Zbrojnych.