Un hacker accede a milioni di record IMDataCenter da un bucket AWS esposto
Il ricercatore di sicurezza informatica Jeremiah Fowler ha scoperto una grave fuga di dati presso un fornitore di soluzioni dati con sede in Florida, IMDataCenter. La fuga di dati ha esposto un enorme database contenente dati personali di utenti e aziende clienti.
Il database mal configurato, con file CSV e PDF, conteneva ben 38 GB di informazioni provenienti da 10.820 record ed era lasciato aperto su Internet senza alcuna protezione tramite password o crittografia.
Questa fuga di notizie è particolarmente allarmante per la tipologia di dati esposti. I file contenevano un'enorme quantità di informazioni personali identificabili ( PII ), tra cui nomi, indirizzi fisici, numeri di telefono e indirizzi email. Ciò che rende questi dati pericolosi è che contenevano anche dati personali sensibili, come informazioni sullo stile di vita e sulla proprietà di una casa o di un veicolo.
Queste preziose informazioni verificate vengono solitamente utilizzate da IMDataCenter per aiutare i clienti di vari settori, dall'assistenza sanitaria e assicurativa alle campagne politiche, nelle loro attività di marketing.
La portata delle attività dell'azienda è ampia, con un archivio dati contenente informazioni su oltre 260 milioni di persone e 600 milioni di indirizzi e-mail. Nelle mani sbagliate, tuttavia, questi dati diventano uno strumento perfetto per i criminali.
"Dato che ogni documento CSV contiene i dati di migliaia di persone, è difficile calcolare il numero totale di coloro i cui dati potrebbero essere stati potenzialmente esposti", ha osservato Fowler nel post del blog .
L'esposizione di un set di dati così dettagliato comporta rischi significativi per le vittime. I dati personali possono essere utilizzati per lanciare truffe di phishing altamente convincenti e altri schemi fraudolenti.
Ad esempio, un truffatore potrebbe utilizzare l'indirizzo di casa e il numero di telefono verificati di una persona per far sembrare più legittima una chiamata o un'e-mail fraudolenta. Questa violazione potrebbe anche aumentare il rischio di furto di identità e reati finanziari, poiché i criminali creano profili dettagliati delle loro vittime.
Dopo aver scoperto i dati esposti, Fowler ha inviato un "avviso di divulgazione responsabile" a IMDataCenter. Il database è stato rapidamente bloccato e non è più disponibile. Un rappresentante dell'azienda ha risposto affermando: "Anche per noi la sicurezza dei dati è molto importante e apprezziamo molto che abbiate condiviso queste informazioni con noi. Stiamo lavorando per proteggere le informazioni il prima possibile".
Sebbene i record sembrino appartenere a IMDataCenter, non è ancora noto se la società gestisse direttamente il database o se il responsabile fosse un appaltatore terzo.
Ma c'è dell'altro dietro questa storia...A metà luglio 2025, Hackread.com è stato contattato da un utente di BreachForum noto come ThinkingOne. L'utente ha affermato di aver avuto accesso al bucket AWS di IMDataCenter, contenente circa 40 GB di dati, che una volta decompressi si espandevano a circa 75 GB, con nuovi record aggiunti quotidianamente.
ThinkingOne ha dichiarato di aver provato ad avvisare IMDataCenter dopo aver individuato la fuga di dati, ma di non aver mai ricevuto risposta. Alla fine, hanno scaricato tutti i dati disponibili in quel momento, inclusi 20 milioni di indirizzi email univoci e 37 milioni di numeri di telefono.
Hanno anche dichiarato di essere riusciti a estrarre file che rivelavano i nomi di alcuni clienti di IMDataCenter, insieme a dati sensibili come numeri di previdenza sociale (oltre 50.000) e date di nascita. Sebbene i clienti non fossero nominati direttamente, i nomi di cartelle e file rimandavano a organizzazioni come compagnie aeree, operatori sanitari, università, concessionarie di automobili e altri.
Hackread.com ha scelto di non rivelare i nomi di questi clienti per tutelare la loro privacy. Tuttavia, ciò non cambia il fatto che i dati esposti da IMDataCenter siano già stati scaricati da almeno una terza parte.
È importante anche ricordare che ThinkingOne è nota per precedenti fughe di dati, tra cui la pubblicazione di 2,8 miliardi di dati di profili utente X (ex Twitter) nel marzo 2025.
HackRead
