Come è stato hackerato Ámbito: cos'è il defacement e tutto ciò che sappiamo sull'attacco
L' attacco al sito web del quotidiano Ámbito ha riportato alla ribalta una tipologia di hacking sempre più diffusa nei media, negli enti pubblici e nelle piattaforme digitali: il defacement , una tecnica che non mira a rubare informazioni o ottenere un guadagno economico, bensì a modificare il contenuto visibile di una pagina per lasciare un messaggio .
L'incidente è avvenuto venerdì mattina, pochi giorni dopo che la Corte Suprema aveva confermato la condanna di Cristina Kirchner per corruzione nel caso Highways.
Per un breve periodo, la homepage del sito web specializzato in economia e commercio è stata completamente modificata: foto di teschi, messaggi contro l'ex presidente e slogan come "#CFKPRESA" e "#CFKCHORRA" hanno dominato i titoli di diversi articoli. Il tutto firmato da un gruppo che si identifica come @gov.eth , un nome già noto nel panorama del cyberattivismo argentino.
Il quotidiano ha confermato che l'attacco è stato un defacement , un metodo che prevede l'accesso al pannello di amministrazione del sito e la sostituzione del contenuto originale con altri testi, immagini o video. "Ha modificato in modo massiccio il contenuto", hanno spiegato in un comunicato ufficiale, in cui si sono anche scusati con lettori e inserzionisti.
L'aggressore si è identificato come @gov.eth, un nome già noto nel mondo del cyberattivismo argentino.
Il nome @gov.eth non è nuovo. Negli ultimi mesi, questo utente ha rivendicato la responsabilità dell'attacco informatico a vari siti di notizie, come Perfil.com e La Unión Digital de Catamarca, nonché al sito web ufficiale del governo argentino , argentina.gob.ar , alla fine del 2024.
In un'intervista con Clarín , uno degli aggressori si è identificato con questo pseudonimo e ha affermato che non c'era alcun movente politico dietro le sue azioni. "Siamo due ragazzini che si annoiavano e siamo riusciti a farlo", ha dichiarato all'epoca, spiegando di lavorare nel marketing digitale ma di compiere questi attacchi "per hobby".
Secondo la sua testimonianza, in alcuni degli attacchi precedenti, sono riusciti a entrare nel sistema utilizzando credenziali trapelate sulle pagine di prova del governo stesso. Poiché i server non avevano l'autenticazione a due fattori abilitata, il semplice inserimento di nome utente e password era sufficiente per accedere al backend , la dashboard che gestisce i contenuti del sito.
Sebbene l'esatta natura della violazione in questo ultimo attacco non sia ancora stata confermata, Ámbito stessa ha ammesso che gli aggressori hanno avuto accesso all'elenco di nomi utente e password , il che ha consentito loro di modificarne massivamente il contenuto. Tutto fa pensare, come nei casi precedenti, a una possibile fuga di dati o a una falla nelle misure di sicurezza di base del sistema .
L'esempio più esemplificativo è l'attacco a argentina.gob.ar dello scorso dicembre. Gli aggressori hanno rivelato che il server era privo di un'autenticazione a due fattori (nota anche come 2FA o MFA), una misura che consente di verificare l'identità di un utente con un codice aggiuntivo, inviato a un telefono cellulare, a un'app o tramite dati biometrici, e che funge da ulteriore barriera di sicurezza .
"Abbiamo effettuato l'accesso al sito utilizzando credenziali trapelate , ottenute da un sito di test governativo, e abbiamo usato le stesse credenziali per accedere al backend di argentina.gob.ar", ha spiegato all'epoca gov.eth. Da lì, hanno aumentato i permessi e preso il controllo del sistema.
Il defacement è una forma di "vandalismo digitale". (Foto: Shutterstock)
A differenza di altri attacchi informatici più complessi o motivati da interessi economici, il defacement è una forma di "vandalismo digitale". L'obiettivo è alterare l'aspetto di un sito per trasmettere un messaggio, lasciare un segno o semplicemente dimostrare che è possibile farlo. Generalmente, non vengono rubate informazioni né installati malware , anche se ciò non significa che non rappresenti un rischio.
La tecnica prevede l'accesso al pannello di controllo del sito – sfruttando una vulnerabilità, una password debole o credenziali trapelate – e la sostituzione del suo contenuto con altri contenuti . Può includere immagini, messaggi politici , video, minacce o prese in giro. In molti casi, come in questo caso, viene utilizzato un teschio come firma, accompagnato da hashtag e link a canali Telegram o altri network.
Il termine deriva dall'inglese " deface " e si riferisce all'alterazione dell'immagine di un sito web . Sebbene sia meno sofisticato di altri attacchi informatici, può avere un impatto pubblico significativo, soprattutto se colpisce organi di stampa o siti web ufficiali.
Al di là delle intenzioni dell'aggressore, l'episodio evidenzia i rischi derivanti dalla mancata implementazione di misure di sicurezza informatica di base . L'utilizzo di password complesse e univoche, l'attivazione dell'autenticazione a due fattori e l'aggiornamento costante del software sono risorse essenziali per prevenire questo tipo di intrusioni.
Clarin
